Vírusirtó programok értékelése. A víruskeresők összehasonlítása a legújabb kártevők elleni védelem hatékonysága alapján. Számítógépes vírusok összehasonlító elemzése
Bevezetés
1. Elméleti rész
1.1 Az információbiztonság fogalma
1.2 A fenyegetések típusai
1.3 Információbiztonsági módszerek
2. Tervezési rész
2.1 A számítógépes vírusok osztályozása
2.2 A víruskereső program fogalma
2.3 A víruskereső termékek típusai
2.4 A víruskereső csomagok összehasonlítása
Következtetés
Felhasznált irodalom jegyzéke
Alkalmazás
Bevezetés
Új fejlesztése információs technológiákés az általános számítógépesítés oda vezetett, hogy az információbiztonság nemcsak kötelezővé válik, hanem az információs rendszerek egyik jellemzője is. Az információfeldolgozó rendszereknek meglehetősen nagy csoportja van, amelyek fejlesztésében a biztonsági tényező kiemelt szerepet játszik.
A személyi számítógépek tömeges használata az önreplikálódó vírusprogramok megjelenésével függ össze, amelyek megakadályozzák normál működés számítógépek, amelyek tönkreteszik fájlszerkezet lemezeket és a számítógépen tárolt káros információkat.
Annak ellenére, hogy számos országban elfogadott törvények a számítógépes bűnözés elleni küzdelem és a fejlesztés speciális programok Az új vírusvédelmi eszközök segítségével folyamatosan nő az új szoftvervírusok száma. Ehhez a felhasználóra van szükség személyi számítógép ismeretek a vírusok természetéről, a vírusfertőzés módszereiről és az ellenük való védekezésről.
A vírusok napról napra egyre kifinomultabbak, ami jelentős változást eredményez a fenyegetettség profiljában. De a víruskereső piac is szoftver nem áll meg, számos terméket kínál. Felhasználóik, akik csak általánosságban mutatják be a problémát, gyakran figyelmen kívül hagyják a fontos árnyalatokat, és végül a védelem illúzióját adják a védelem helyett.
A tanfolyam célja a víruskereső csomagok összehasonlító elemzése.
E cél elérése érdekében a következő feladatokat oldjuk meg a munkában:
Tanuljon fogalmakat információ biztonság, számítógépes vírusok és vírusirtó termékek;
Határozza meg az információbiztonságot fenyegető veszélyek típusait, a védelmi módszereket;
A számítógépes vírusok és vírusirtó programok osztályozásának tanulmányozása;
Végezze el a víruskereső csomagok összehasonlító elemzését;
Hozzon létre egy víruskereső programot.
A munka gyakorlati jelentősége.
A kapott eredmények és a tanfolyami munkaanyag alapul szolgálhat a vírusirtó programok független összehasonlításához.
A tanfolyami munka felépítése.
Ez a kurzusmunka egy bevezetőből, két részből, egy következtetésből és egy hivatkozási listából áll.
számítógépes vírusbiztonsági vírusirtó
1. Elméleti rész
A víruskereső csomagok összehasonlító elemzése során a következő fogalmakat kell meghatározni:
1 Információbiztonság.
2 A fenyegetések típusai.
3 Információbiztonsági módszerek.
Térjünk át ezen fogalmak részletes vizsgálatára:
1.1 Az információbiztonság fogalma
Az adatvédelmi technológiák létrehozására irányuló fokozódó erőfeszítések ellenére ezek sebezhetősége az modern körülmények között nemcsak nem csökken, hanem folyamatosan nő is. Ezért egyre inkább felértékelődik az információvédelemmel kapcsolatos problémák jelentősége.
Az információbiztonság problémája sokrétű és összetett, és számos fontos feladatot takar. Ilyen például az adatok bizalmas kezelése, amelyet különféle módszerek és eszközök alkalmazásával biztosítanak. A hasonló információbiztonsági feladatok listája folytatható. A modern információs technológiák intenzív fejlesztése, és különösen hálózati technológiák, megteremti ehhez az összes előfeltételt.
Az információvédelem olyan intézkedések összessége, amelyek célja az adatok beviteléhez, tárolásához, feldolgozásához és továbbításához használt információk és erőforrások integritásának, elérhetőségének és szükség esetén bizalmasságának biztosítására.
A mai napig az információvédelem két alapelve fogalmazódott meg:
1 adatintegritás – információvesztéshez vezető hibák elleni védelem, valamint védelem az adatok jogosulatlan létrehozása vagy megsemmisítése ellen;
2 az információk bizalmas kezelése.
Az információvesztéshez vezető meghibásodások elleni védelem az egyes elemek és rendszerek megbízhatóságának növelése érdekében történik, amelyek adatokat visznek be, tárolnak, dolgoznak fel és továbbítanak, megduplázzák és redundánsan végzik az egyes elemeket és rendszereket, különféle, ideértve az autonóm energiaforrásokat is, a felhasználói képesítések szintjének növelése, a berendezés meghibásodásához, a szoftver és a védett információk megsemmisüléséhez vagy megváltoztatásához (módosításához) vezető nem szándékos és szándékos cselekvések elleni védelem.
Az adatok jogosulatlan létrehozása vagy megsemmisítése elleni védelem biztosított fizikai védelem információk, a védett információ elemeihez való hozzáférés elhatárolása és korlátozása, a védett információ lezárása közvetlen feldolgozása során, szoftver- és hardverrendszerek, eszközök és speciális szoftverek fejlesztése a védett információkhoz való jogosulatlan hozzáférés megakadályozására.
Az információk bizalmasságát a belépők azonosítása és hitelesítése biztosítja a rendszerbe azonosítóval és jelszóval történő bejelentkezéskor, azonosítás külső eszközök fizikai címek alapján, programok, kötetek, könyvtárak, fájlok név szerinti azonosítása, információk titkosítása és visszafejtése, az azokhoz való hozzáférés elhatárolása és ellenőrzése.
Az információvédelmet célzó intézkedések közül a legfontosabbak a technikai, szervezési és jogiak.
A technikai intézkedések közé tartozik a rendszerhez való jogosulatlan hozzáférés elleni védelem, a különösen fontos számítógépes alrendszerek redundanciája, szervezés számítógépes hálózatok az erőforrások újraelosztásának lehetőségével az egyes kapcsolatok meghibásodása esetén, tartalék áramellátó rendszerek telepítése, helyiségek zárakkal való felszerelése, riasztórendszer felszerelése stb.
A szervezési intézkedések közé tartozik: a számítástechnikai központ (informatikai termek) biztonsága; számítástechnikai berendezések karbantartására vonatkozó szerződés megkötése jó hírű, jó hírű szervezettel; kizárva annak lehetőségét, hogy illetéktelen személyek, véletlenszerű személyek stb. dolgozzanak számítógépes berendezéseken.
A jogi intézkedések közé tartozik olyan szabványok kidolgozása, amelyek felelősséget állapítanak meg a számítástechnikai berendezések letiltása és a szoftverek megsemmisítése (megváltoztatása), nyilvános ellenőrzése a számítógépes rendszerek és programok fejlesztői és felhasználói felett.
Hangsúlyozni kell, hogy semmilyen hardver, szoftver vagy egyéb megoldás nem tudja garantálni a számítógépes rendszerekben található adatok abszolút megbízhatóságát és biztonságát. Ugyanakkor lehetőség van a veszteségek kockázatának minimalizálására, de csak az információvédelem integrált megközelítésével.
1.2 A fenyegetések típusai
A passzív fenyegetések főként jogosulatlan felhasználásra irányulnak információs források információs rendszert anélkül, hogy annak működését befolyásolná. Például az adatbázisokhoz való jogosulatlan hozzáférés, a kommunikációs csatornák lehallgatása stb.
Az aktív fenyegetések célja a zavarás normál működés információs rendszer az összetevőire gyakorolt célzott befolyásolás révén. Az aktív fenyegetések közé tartozik például egy számítógép vagy annak megsemmisítése operációs rendszer, számítógépes szoftverek megsemmisülése, kommunikációs vonalak megszakadása stb. Az aktív fenyegetések származhatnak hackerektől, rosszindulatú programoktól és hasonlóktól.
A szándékos fenyegetéseket is belső (a kezelt szervezeten belül felmerülő) és külsőre osztják.
A belső fenyegetéseket leggyakrabban a társadalmi feszültség és a nehéz erkölcsi légkör határozza meg.
A külső fenyegetéseket a versenytársak rosszindulatú cselekedetei, a gazdasági feltételek és egyéb okok (például természeti katasztrófák) határozhatják meg.
Az információbiztonságot és az információs rendszer normál működését fenyegető főbb veszélyek a következők:
Bizalmas információk kiszivárogtatása;
Az információ kompromittálása;
Információs források jogosulatlan használata;
Az információs források helytelen használata;
Jogosulatlan információcsere előfizetők között;
Információ megtagadása;
Információs szolgáltatások megsértése;
A privilégiumok illegális használata.
A bizalmas információ kiszivárogtatása a bizalmas információnak az információs rendszeren vagy azon személyek körén kívülre történő ellenőrizetlen kibocsátása, akikre azt munkájuk során rábízták, vagy a munkavégzés során ismertté váltak. Ez a szivárgás oka lehet:
Bizalmas információk nyilvánosságra hozatala;
Információtovábbítás különféle, elsősorban technikai csatornákon keresztül;
Bizalmas információkhoz való jogosulatlan hozzáférés különböző utak.
Az információ tulajdonosa vagy birtokosa általi nyilvánosságra hozatala azon tisztségviselők és felhasználók szándékos vagy gondatlan cselekedete, akikre szolgálatuk vagy munkájuk során a vonatkozó információt az előírt módon rábízták, és amely olyan személyek megismeréséhez vezetett, akiknek nem volt szabad hozzáférni ehhez az információhoz.
Lehetséges a bizalmas információk ellenőrizetlen elvesztése vizuális-optikai, akusztikus, elektromágneses és egyéb csatornákon keresztül.
A jogosulatlan hozzáférés bizalmas információ jogellenes, szándékos megszerzése olyan személy által, aki nem jogosult a védett információkhoz való hozzáférésre.
Az információkhoz való jogosulatlan hozzáférés leggyakoribb módjai a következők:
Elektronikus sugárzás elfogása;
Lehallgató eszközök használata;
Távoli fényképezés;
Az akusztikus sugárzás elfogása és a nyomtatószöveg helyreállítása;
Adathordozók másolása biztonsági intézkedések leküzdésével;
Maszkolás regisztrált felhasználóként;
Maszkolás rendszerkérésként;
Szoftvercsapdák használata;
A programozási nyelvek és operációs rendszerek hiányosságainak kihasználása;
Illegális csatlakozás speciálisan tervezett hardver berendezésekhez és kommunikációs vonalakhoz, amelyek hozzáférést biztosítanak az információkhoz;
A védelmi mechanizmusok rosszindulatú meghibásodása;
Titkosított információk dekódolása speciális programokkal;
Információs fertőzések.
A jogosulatlan hozzáférés felsorolt módszerei meglehetősen sok technikai tudást és megfelelő hardvert, ill szoftverfejlesztés a betörőtől. Például használják technikai csatornák A kiszivárogtatások fizikai utak a bizalmas információforrástól a támadóig, amelyen keresztül védett információkhoz lehet hozzájutni. A szivárgási csatornák oka az áramköri megoldások tervezési és technológiai tökéletlensége vagy az elemek működési kopása. Mindez lehetővé teszi a hackerek számára, hogy bizonyos fizikai elveken működő konvertereket hozzanak létre, amelyek ezekben az elvekben rejlő információátviteli csatornát - egy szivárgási csatornát - alkotnak.
Vannak azonban meglehetősen primitív módjai az illetéktelen hozzáférésnek:
Adathordozók és dokumentumhulladék ellopása;
Kezdeményező együttműködés;
Hajlam az együttműködésre a betörő részéről;
Vizsgálat;
Hallgatózás;
Megfigyelés és egyéb módok.
A bizalmas információk kiszivárogtatásának bármely módja jelentős anyagi és erkölcsi károkhoz vezethet mind az információs rendszert működtető szervezet, mind a felhasználók számára.
Nagyon sokféle van és folyamatosan fejlődik rosszindulatú, melynek célja az adatbázisokban és a számítógépes szoftverekben található információk károsodása. Ezeknek a programoknak a fajtáinak nagy száma nem teszi lehetővé, hogy tartós és megbízható védekezési eszközöket dolgozzunk ki ellenük.
A vírust két fő tulajdonság jellemzi:
Az önreprodukciós képesség;
A beavatkozás képessége számítási folyamat(az irányítás képességének elnyerésére).
Az információforrások jogosulatlan felhasználása egyrészt kiszivárogtatásának következménye, illetve kompromittálásának eszköze. Másrészt önálló jelentősége van, hiszen nagy károkat okozhat a felügyelt rendszerben vagy annak előfizetőiben.
Az információforrások hibás felhasználása, bár engedélyezett, mégis az említett források megsemmisüléséhez, kiszivárgásához vagy veszélyeztetéséhez vezethet.
Az előfizetők közötti jogosulatlan információcsere azt eredményezheti, hogy egyikük olyan információt kap, amelyhez tilos hozzáférnie. A következmények ugyanazok, mint a jogosulatlan hozzáférés esetén.
1.3 Információbiztonsági módszerek
Az információbiztonsági rendszerek létrehozása a következő elveken alapul:
1 A védelmi rendszer kiépítésének szisztematikus megközelítése, ami egymással összefüggő szervezeti, szoftveres, optimális kombinációt jelent. A hazai és külföldi biztonsági rendszerek létrehozásának gyakorlata által megerősített hardver, fizikai és egyéb tulajdonságok az információfeldolgozás technológiai ciklusának minden szakaszában használatosak.
2 A rendszer folyamatos fejlesztésének elve. Ez az elv, amely a számítógépes információs rendszerek egyik alapelve, még inkább érvényes az információbiztonsági rendszerekre. Az információs fenyegetések megvalósításának módszerei folyamatosan javulnak, ezért az információs rendszerek biztonságának biztosítása nem lehet egyszeri intézkedés. Ez egy folyamatos folyamat, amely az információbiztonsági rendszerek legracionálisabb módszereinek, módszereinek és módozatainak indoklásából és megvalósításából, a folyamatos monitorozásból, szűk keresztmetszetek és gyenge pontjainak, az információszivárgás lehetséges csatornáinak és a jogosulatlan hozzáférés új módszereinek feltárásából áll,
3 A védelmi rendszer megbízhatóságának biztosítása, vagyis a megbízhatósági szint csökkentésének lehetetlensége meghibásodások, meghibásodások, hacker szándékos tevékenysége vagy a felhasználók és a karbantartó személyzet nem szándékos hibája esetén a rendszerben.
4 A védelmi rendszer működése feletti ellenőrzés biztosítása, azaz a védelmi mechanizmusok teljesítményének ellenőrzésére szolgáló eszközök és módszerek létrehozása.
5 Mindenféle kártevőirtó eszköz biztosítása.
6 A rendszer használatának gazdasági megvalósíthatóságának biztosítása. Védelem, amely az információbiztonsági rendszerek fejlesztésének és üzemeltetésének költségeihez képest a fenyegetések megvalósításából származó lehetséges károk többletében fejeződik ki.
Az információbiztonsági problémák megoldásának eredményeként a modern információs rendszereknek a következő főbb jellemzőkkel kell rendelkezniük:
A különböző fokú bizalmas információk elérhetősége;
Az adatátvitel során változó titkosságú információk kriptográfiai védelmének biztosítása;
Kötelező információáramlás-kezelés, mint pl helyi hálózatokés kommunikációs csatornákon keresztül történő továbbításkor nagy távolságra;
A jogosulatlan hozzáférési kísérletek, az információs rendszerben lévő események és a nyomtatott dokumentumok regisztrálására és elszámolására szolgáló mechanizmus jelenléte;
A szoftverek és információk integritásának kötelező biztosítása;
Az információbiztonsági rendszer helyreállításához szükséges eszközök rendelkezésre állása;
Mágneses adathordozók kötelező elszámolása;
Számítógépes berendezések és mágneses adathordozók fizikai biztonságának rendelkezésre állása;
Speciális rendszerinformációs biztonsági szolgáltatás elérhetősége.
Az információbiztonság biztosításának módszerei, eszközei.
Az akadály egy olyan módszer, amely fizikailag blokkolja a támadót a védett információkhoz vezető úton.
Hozzáférés-szabályozás – az információk védelmének módszerei az összes erőforrás felhasználásának szabályozásával. Ezeknek a módszereknek meg kell akadályozniuk az információkhoz való jogosulatlan hozzáférés minden lehetséges módját. A hozzáférés-vezérlés a következő biztonsági funkciókat tartalmazza:
Felhasználók, személyzet és rendszererőforrások azonosítása (személyes azonosító hozzárendelése minden objektumhoz);
Egy tárgy vagy alany azonosítása a nekik bemutatott azonosító alapján;
Munkafeltételek engedélyezése és megteremtése a megállapított előírásokon belül;
Védett erőforrásokra vonatkozó kérések regisztrálása;
Reakció a jogosulatlan cselekményekre.
Titkosítási mechanizmusok – az információk titkosítási lezárása. Ezeket a védelmi módszereket egyre gyakrabban alkalmazzák mind az információk feldolgozása, mind a mágneses adathordozókon való tárolása során. Távolsági kommunikációs csatornákon történő információtovábbításnál ez a módszer az egyetlen megbízható.
A rosszindulatú programok elleni támadások elleni küzdelem különféle szervezeti intézkedésekkel és vírusirtó programok használatával jár.
Az egész készlet technikai eszközökkel hardverre és fizikaira osztva.
Hardver – közvetlenül beépített eszközök számítógépes technológia, vagy olyan eszközök, amelyek szabványos interfészen keresztül kapcsolódnak hozzá.
A fizikai eszközök közé tartoznak a különféle mérnöki eszközök és szerkezetek, amelyek megakadályozzák a támadók fizikai behatolását a védett objektumokba, és megvédik a személyzetet (személyes biztonsági berendezések), az anyagi erőforrásokat és a pénzügyeket, valamint az információkat az illegális cselekményektől.
A szoftvereszközök speciális programok és szoftverrendszerek, amelynek célja az információs rendszerekben található információk védelme.
A biztonsági rendszer szoftver eszközei közül ki kell emelni szoftver, titkosítási mechanizmusok megvalósítása (kriptográfia). A kriptográfia a továbbított üzenetek titkosságának és/vagy hitelességének (hitelességének) biztosításának tudománya.
A szervezési eszközök az információs rendszerekben zajló termelési tevékenységüket és az előadói kapcsolatokat komplex szabályozásukat úgy végzik, hogy a szervezési intézkedések következtében a bizalmas információk nyilvánosságra hozatala, kiszivárogtatása, illetéktelen hozzáférése lehetetlenné vagy jelentősen megnehezüljön.
A jogorvoslati lehetőségeket az adott ország jogszabályai határozzák meg, amelyek szabályozzák az információk felhasználásának, feldolgozásának és továbbításának szabályait. korlátozott hozzáférésés e szabályok megszegése esetén szankciókat állapítanak meg.
A védelem erkölcsi és etikai eszközei közé tartozik minden olyan magatartási norma, amely korábban hagyományosan kialakult, az országban és a világban terjedő információként alakul ki, vagy speciálisan kidolgozott. Az erkölcsi és etikai normák íratlanok lehetnek, vagy bizonyos szabályokban vagy előírásokban formalizálhatók. Ezeket a normákat általában jogilag nem hagyják jóvá, de mivel be nem tartásuk a szervezet presztízsének csökkenéséhez vezet, kötelező érvényűnek minősülnek.
2. Tervezési rész
A tervezési részben a következő lépéseket kell végrehajtani:
1 Határozza meg a számítógépes vírus fogalmát és a számítógépes vírusok osztályozását!
2 Határozza meg a víruskereső program fogalmát és a víruskereső eszközök osztályozását.
3 Végezze el a víruskereső csomagok összehasonlító elemzését.
2.1 A számítógépes vírusok osztályozása
A vírus olyan program, amely képes megfertőzni más programokat azáltal, hogy tartalmaz egy módosított példányt, amely képes tovább reprodukálni.
A vírusok osztályokra oszthatók a következő főbb jellemzők szerint:
Pusztító lehetőségek
A működési algoritmus jellemzői;
Élőhely;
Pusztító képességük szerint a vírusok a következőkre oszthatók:
Ártalmatlan, azaz semmilyen módon nem befolyásolják a számítógép működését (kivéve a szabad memória csökkentését a lemezen annak elosztása következtében);
Nem veszélyes, amelynek hatását korlátozza a szabad memória csökkenése a lemezen és a grafikus, hang- és egyéb effektusok;
Veszélyes vírusok, amelyek súlyos számítógép-meghibásodásokhoz vezethetnek;
Nagyon veszélyes, amelynek algoritmusa szándékosan tartalmaz olyan eljárásokat, amelyek programok elvesztéséhez, adatok megsemmisítéséhez, a számítógép működéséhez szükséges információk törléséhez vezethetnek a rendszermemória területeken.
A vírusműködési algoritmus jellemzői a következő tulajdonságokkal jellemezhetők:
Rezidencia;
Lopakodó algoritmusok használata;
polimorfizmus;
Rezidens vírusok.
A „lakóhely” kifejezés a vírusok azon képességére utal, hogy másolatokat hagynak magukról a rendszermemóriában, elfognak bizonyos eseményeket, és eljárásokat hívnak meg az észlelt objektumok (fájlok és szektorok) megfertőzésére. Így a rezidens vírusok nem csak a fertőzött program futása közben aktívak, hanem a program futásának befejezése után is. Az ilyen vírusok rezidens másolatai a következő újraindításig életképesek maradnak, még akkor is, ha a lemezen lévő összes fertőzött fájl megsemmisül. Gyakran lehetetlen megszabadulni az ilyen vírusoktól a fájlok összes másolatának visszaállításával a terjesztési lemezekről vagy biztonsági másolatokról. A vírus rezidens példánya aktív marad, és megfertőzi az újonnan létrehozott fájlokat. Ugyanez igaz a rendszerindító vírusokra is – a lemez formázása, ha a memóriában rezidens vírus van, nem mindig gyógyítja meg a lemezt, mivel sok állandó vírus újra megfertőzi a lemezt a formázás után.
Nem rezidens vírusok. A nem rezidens vírusok ezzel szemben meglehetősen rövid ideig aktívak - csak abban a pillanatban, amikor a fertőzött program elindul. A terjedéshez nem fertőzött fájlokat keresnek a lemezen, és írnak rájuk. Miután a víruskód átadja az irányítást a gazdagépnek, a vírusnak az operációs rendszer működésére gyakorolt hatása nullára csökken a fertőzött program következő indításáig. Ezért sokkal egyszerűbb a nem-rezidens vírusokkal fertőzött fájlokat törölni a lemezről anélkül, hogy a vírus újra megfertőzhetné őket.
Lopakodó vírusok. A lopakodó vírusok ilyen vagy olyan módon elrejtik a rendszerben való jelenlétük tényét. A lopakodó algoritmusok segítségével a vírusok teljesen vagy részben elrejtőzhetnek a rendszerben. A leggyakoribb lopakodó algoritmus az operációs rendszer kérései elfogása a fertőzött objektumok olvasására (írására). Ebben az esetben a lopakodó vírusok vagy ideiglenesen meggyógyítják őket, vagy a nem fertőzött információrészeket „helyettesítik” helyettük. Makróvírusok esetén a legnépszerűbb módszer a makrómegtekintési menü hívásainak letiltása. A Windows vírusok kivételével mindenféle lopakodó vírus ismert - rendszerindító vírusok, DOS fájlvírusok és még makróvírusok is. A fertőző lopakodó vírusok megjelenése Windows fájlok, valószínűleg idő kérdése.
Polimorf vírusok. Az öntitkosítást és a polimorfizmust szinte minden vírustípus alkalmazza annak érdekében, hogy a vírusfelderítési eljárást a lehető legnagyobb mértékben megnehezítsék. A polimorf vírusok meglehetősen nehezen észlelhetők olyan vírusok esetében, amelyek nem rendelkeznek aláírásokkal, vagyis nem tartalmaznak egyetlen állandó kódrészt. A legtöbb esetben ugyanazon polimorf vírus két mintája nem egyezik. Ez a vírus törzsének titkosításával és a visszafejtő program módosításával érhető el.
A polimorf vírusok közé tartoznak azok, amelyeket nem lehet kimutatni úgynevezett vírusmaszkokkal – egy adott vírusra jellemző állandó kóddal. Ez két fő módon érhető el - a fő víruskód titkosításával változó cry-vel és véletlenszerű visszafejtő parancsokkal, vagy magának a végrehajtható víruskódnak a megváltoztatásával. Különböző összetettségű polimorfizmus minden típusú vírusban megtalálható – a rendszerindító és fájl DOS vírusoktól a Windows vírusokig.
Élőhelyük alapján a vírusok a következőkre oszthatók:
Fájl;
Csomagtartó;
Makrovírusok;
Hálózat.
Fájlvírusok. A fájlvírusok vagy különféle módokon fecskendezik be magukat a végrehajtható fájlokba, vagy duplikált fájlokat hoznak létre (kísérővírusok), vagy a fájlrendszer felépítésének sajátosságait használják (linkvírusok).
A fájlvírus az összes népszerű operációs rendszer szinte minden futtatható fájljába bevihető. Ma már ismertek olyan vírusok, amelyek a szabványos DOS futtatható objektumok minden típusát megfertőzik: kötegfájlokat (BAT), betölthető illesztőprogramokat (SYS, beleértve az IO.SYS és MSDOS.SYS speciális fájlokat) és végrehajtható bináris fájlokat (EXE, COM). Vannak vírusok, amelyek más operációs rendszerek futtatható fájljait is megfertőzik – Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, beleértve a Windows 3.x és Windows95 VxD illesztőprogramokat is.
Vannak vírusok, amelyek megfertőzik a programok, a könyvtárak vagy az objektummodulok forráskódját tartalmazó fájlokat. Az is előfordulhat, hogy egy vírus adatfájlokban rögzítésre kerül, de ez vagy egy vírushiba eredményeként történik, vagy amikor agresszív tulajdonságai megnyilvánulnak. A makróvírusok is adatfájlokba – dokumentumokba vagy táblázatokba – írják a kódjukat, de ezek a vírusok annyira specifikusak, hogy külön csoportba sorolják őket.
Boot vírusok. A rendszerindító vírusok megfertőzik a hajlékonylemez rendszerindító szektorát és a merevlemez rendszerindító szektorát vagy Master Boot Record-ját (MBR). A rendszerindító vírusok működési elve az operációs rendszer elindítására szolgáló algoritmusokon alapul, amikor bekapcsolja vagy újraindítja a számítógépet - a telepített berendezések (memória, lemezek stb.) szükséges tesztelése után a rendszerindító program beolvassa az első fizikai szektort indítólemez(A:, C: vagy CD-ROM a beállított paraméterektől függően BIOS beállítások), és átadja neki az irányítást.
Hajlékonylemez vagy CD esetén a vezérlést a rendszerindító szektor veszi, amely elemzi a lemez paramétertáblázatát (BPB - BIOS Parameter Block), kiszámítja az operációs rendszer fájljainak címét, beolvassa a memóriába és elindítja azokat. végrehajtás. A rendszerfájlok általában MSDOS.SYS és IO.SYS, vagy IBMDOS.COM és IBMBIO.COM, vagy mások, attól függően telepített verzió DOS, Windows vagy más operációs rendszerek. Ha a rendszerindító lemezen nincsenek operációs rendszerfájlok, a lemez indító szektorában található program hibaüzenetet jelenít meg, és javasolja a rendszerindító lemez cseréjét.
Merevlemez esetén a vezérlést a merevlemez MBR-jében található program veszi át. Ez a program elemzi a lemezpartíciós táblát, kiszámítja az aktív rendszerindító szektor címét (általában ez a szektor a C meghajtó boot szektora), betölti a memóriába és átadja a vezérlést. meghajtó ugyanazokat a műveleteket hajtja végre, mint a hajlékonylemez rendszerindító szektora.
A lemezek megfertőzésekor a rendszerindító vírusok „helyettesítik” a kódjukat minden olyan program helyett, amely a rendszer indításakor átveszi az irányítást. A fertőzés elve tehát minden fent leírt módszerben ugyanaz: a vírus újraindításkor „kényszeríti” a rendszert, hogy a memóriába olvasson, és ne az eredeti bootloader kódot adja át, hanem a víruskódot.
A hajlékonylemezeket az egyetlen ismert módon fertőzik meg – a vírus helyett a kódját írja eredeti kód a hajlékonylemez rendszerindító szektorai. Winchester hárommal megfertőződik lehetséges módjai– a vírust vagy az MBR kód helyett, vagy a rendszerindító lemez (általában C meghajtó, vagy a merevlemez MBR-jében található Lemezpartíciós Táblázatban lévő aktív rendszerindító szektor címét módosítja) a rendszerindító szektor kódja helyett. hajtás.
Makróvírusok. A makróvírusok megfertőzik számos népszerű szerkesztő fájljait, például dokumentumait és táblázatait. A makróvírusok bizonyos adatfeldolgozó rendszerekbe beépített nyelveken (makrónyelveken) írt programok. A reprodukáláshoz az ilyen vírusok a makrónyelvek képességeit használják, és segítségükkel átviszik magukat egy fertőzött fájlból másokba. A legelterjedtebbek a Microsoft Word, Excel és Office97 makróvírusai. Vannak olyan makróvírusok is, amelyek megfertőzik az Ami Pro dokumentumokat és a Microsoft Access adatbázisokat.
Hálózati vírusok. A hálózati vírusok közé tartoznak azok a vírusok, amelyek aktívan használják a helyi és globális hálózatok protokolljait és képességeit a terjedéshez. A hálózati vírusok fő működési elve az a képesség, hogy a kódját önállóan továbbítsák egy távoli szerverre vagy munkaállomásra. A „teljes értékű” hálózati vírusok arra is képesek, hogy kódjukat egy távoli számítógépen is lefuttatják, vagy legalábbis „lenyomják” a felhasználót egy fertőzött fájl futtatására. A hálózati vírusokra példa az úgynevezett IRC férgek.
Az IRC (Internet Relay Chat) egy speciális protokoll, amelyet az internetfelhasználók közötti valós idejű kommunikációra terveztek. Ez a protokoll lehetővé teszi számukra az internetes „beszélgetést” speciálisan kifejlesztett szoftver segítségével. Az általános konferenciákon való részvételen túl az IRC-felhasználóknak lehetőségük van egy-egy csevegésre bármely más felhasználóval. Ezen kívül elég nagy számban találhatók IRC parancsok, amelyek segítségével a felhasználó információkat szerezhet más felhasználókról és csatornákról, módosíthatja az IRC kliens egyes beállításait stb. Lehetőség van fájlok küldésére és fogadására is – erre a képességre épülnek az IRC férgek. Az IRC kliensek nagy teljesítményű és kiterjedt parancsrendszere lehetővé teszi a szkriptjeik alapján olyan számítógépes vírusok létrehozását, amelyek kódjukat továbbítják az IRC hálózatok felhasználóinak számítógépeire, az úgynevezett „IRC férgekre”. Ezeknek az IRC férgeknek a működési elve megközelítőleg azonos. Az IRC-parancsok használatával a fertőzött számítógép automatikusan elküld egy munkaszkript-fájlt (script) minden új felhasználónak, aki csatlakozik a csatornához. Az elküldött parancsfájl lecseréli a szabványos fájlt, és a következő munkamenet során az újonnan fertőzött kliens kiküldi a férget. Egyes IRC férgek trójai komponenst is tartalmaznak: meghatározott kulcsszavak használatával pusztító műveleteket hajtanak végre az érintett számítógépeken. Például a „pIRCH.Events” féreg egy bizonyos parancsra töröl minden fájlt a felhasználó lemezéről.
Számos kombináció létezik – például a fájlrendszerindító vírusok, amelyek a fájlokat és a lemezek rendszerindító szektorait egyaránt megfertőzik. Az ilyen vírusok általában meglehetősen bonyolult működési algoritmussal rendelkeznek, gyakran eredeti módszereket alkalmaznak a rendszerbe való behatolásra, és lopakodó és polimorf technológiákat használnak. Egy másik példa egy ilyen kombinációra egy hálózati makróvírus, amely nemcsak megfertőzi a szerkesztett dokumentumokat, hanem e-mailben másolatokat is küld magáról.
Ezen a besoroláson kívül érdemes néhány szót ejteni más rosszindulatú programokról is, amelyeket néha összetévesztenek a vírusokkal. Ezek a programok nem képesek önmagukban szaporodni, mint a vírusok, de ugyanolyan pusztító károkat okozhatnak.
Trójai falók (logikai bombák vagy időzített bombák).
A trójai programok közé tartoznak azok a programok, amelyek bármilyen pusztító hatást okoznak, vagyis bizonyos feltételektől függően vagy minden indításkor megsemmisítik a lemezeken lévő információkat, „akasztják” a rendszert stb. Példaként említhetjük ezt az esetet, amikor egy ilyen program az internetes munkamenet során elküldte a szerzői azonosítóit és jelszavait azokról a számítógépekről, ahol élt. A legtöbb jól ismert trójai program olyan program, amely „hamisít” valamit hasznos programokat, népszerű segédprogramok új verziói vagy azok kiegészítései. Nagyon gyakran BBS állomásokra vagy elektronikus konferenciákra küldik őket. A vírusokhoz képest a trójai falovakat a következő okok miatt nem használják széles körben – vagy megsemmisítik magukat a lemezen lévő többi adattal együtt, vagy leleplezik jelenlétüket, és az érintett felhasználó megsemmisíti őket.
2.2 A víruskereső program fogalma
A számítógépes vírusok elleni küzdelem módszerei több csoportra oszthatók:
A vírusfertőzés megelőzése és az ilyen fertőzésből származó várható károsodások csökkentése;
Víruskereső programok használatának módszerei, beleértve az ismert vírusok semlegesítését és eltávolítását;
Ismeretlen vírus kimutatásának és eltávolításának módszerei.
A számítógépes fertőzések megelőzése.
A vírusok elleni küzdelem egyik fő módszere az orvostudományhoz hasonlóan az időben történő megelőzés. A számítógépes megelőzés kis számú szabály betartását jelenti, ami jelentősen csökkentheti a vírusfertőzés és az adatok elvesztésének valószínűségét.
A számítógépes „higiénia” alapvető szabályainak meghatározásához meg kell találni a vírusok főbb módjait, amelyek behatolnak a számítógépbe és a számítógépes hálózatokba.
A vírusok fő forrása ma az globális hálózat Internet. A legtöbb vírusfertőzés Word/Office97 formátumú levélváltáskor fordul elő. A makróvírussal fertőzött szerkesztő felhasználója anélkül, hogy tudta volna, fertőzött leveleket küld a címzetteknek, akik viszont új fertőzött leveleket küldenek, és így tovább. Kerülje a gyanús információforrásokkal való érintkezést, és csak legális (licenszelt) szoftvertermékeket használjon.
Sérült tárgyak helyreállítása.
A legtöbb vírusfertőzés esetén a fertőzött fájlok és lemezek visszaállítása egy megfelelő vírusirtó futtatásához vezet, amely képes semlegesíteni a rendszert. Ha a vírust egyetlen vírusirtó sem ismeri, akkor elég elküldeni a fertőzött fájlt a vírusirtó gyártóknak, és egy idő után megkapni a vírus elleni „frissítő” gyógyszert. Ha az idő nem vár, akkor magának kell semlegesítenie a vírust. A legtöbb felhasználó számára ez szükséges biztonsági mentések az Ön adatait.
Az általános információbiztonsági eszközök nem csak a vírusvédelemben használhatók. Ezeknek az alapoknak két fő típusa van:
1 Információk másolása – másolatok készítése fájlokról és lemezek rendszerterületeiről.
2 A hozzáférés-szabályozás megakadályozza az információk jogosulatlan felhasználását, különösen a programok és adatok vírusok általi megváltoztatása, hibásan működő programok és hibás felhasználói műveletek ellen.
A vírussal fertőzött fájlok és lemezek időben történő észlelése, valamint az észlelt vírusok teljes megsemmisítése az egyes számítógépeken segít elkerülni a vírusjárvány más számítógépekre való átterjedését.
A vírusok elleni küzdelem fő fegyvere a víruskereső programok. Lehetővé teszik nemcsak a vírusok észlelését, beleértve a különféle álcázási módszereket használó vírusokat is, hanem a számítógépről való eltávolításukat is.
A víruskereső programok számos alapvető vírusészlelési módszert használnak. A víruskeresés leghagyományosabb módja a szkennelés.
A számítógépes vírusok észlelésére, eltávolítására és az ellenük való védekezésre többféle speciális programot fejlesztettek ki, amelyek lehetővé teszik a vírusok észlelését és megsemmisítését. Az ilyen programokat víruskereső programoknak nevezzük.
2.3 A víruskereső termékek típusai
Detektor programok. Az érzékelő programok egy adott vírusra jellemző aláírást keresnek véletlen hozzáférésű memória mind a fájlokban, mind az észleléskor megfelelő üzenetet adnak ki. Az ilyen vírusirtó programok hátránya, hogy csak olyan vírusokat találhatnak, amelyeket az ilyen programok fejlesztői ismernek.
Orvosi programok. A doktor- vagy fágprogramok, valamint az oltóprogramok nemcsak megtalálják a vírussal fertőzött fájlokat, hanem „kezelik” is azokat, vagyis eltávolítják a vírusprogram törzsét a fájlból, visszaállítva a fájlokat eredeti állapotukba. Munkájuk kezdetén a fágok vírusokat keresnek a RAM-ban, megsemmisítik azokat, és csak ezután kezdik a fájlok „tisztítását”. A fágok között vannak polifágok, vagyis olyan orvos programok, amelyek nagyszámú vírus felkutatására és elpusztítására szolgálnak. A leghíresebbek közülük: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Tekintettel arra, hogy folyamatosan jelennek meg az új vírusok, a detektor- és orvosprogramok gyorsan elavulnak, és rendszeres verziófrissítésekre van szükség.
A vírusok elleni védekezés legmegbízhatóbb eszközei az auditáló programok (ellenőrök).
Az auditorok (ellenőrök) ellenőrzik a lemezen lévő adatokat láthatatlan vírusok szempontjából. Ezenkívül előfordulhat, hogy az ellenőr nem használja az operációs rendszer eszközeit a lemezek eléréséhez, ami azt jelenti, hogy egy aktív vírus nem fogja tudni elkapni ezt a hozzáférést.
A helyzet az, hogy számos vírus, amely bekerül a fájlba (vagyis a fájl végéhez vagy elejéhez fűződik), lecseréli az erről a fájlról szóló rekordokat operációs rendszerünk fájlkiosztási tábláiban.
Az auditorok (ellenőrök) emlékeznek a programok, könyvtárak és a lemez rendszerterületeinek kezdeti állapotára, amikor a számítógép nem fertőzött vírussal, majd időszakonként vagy a felhasználó kérésére összehasonlítják az aktuális állapotot az eredeti állapottal. Az észlelt változások megjelennek a monitor képernyőjén. Az állapotok összehasonlítása általában közvetlenül az operációs rendszer betöltése után történik. Összehasonlításkor a fájl hosszát, a ciklikus vezérlőkódot (fájl ellenőrző összegét), a módosítás dátumát és időpontját, valamint egyéb paramétereket ellenőrzik. Az ellenőrző programok (ellenőrök) meglehetősen fejlett algoritmusokkal rendelkeznek, észlelik a lopakodó vírusokat, és még az ellenőrzött programverzióban bekövetkezett változásokat is meg tudják tisztítani a vírus által végrehajtott változtatásoktól.
Az auditort (ellenőrt) el kell indítani, amikor a számítógép még nem fertőzött, hogy minden lemez gyökérkönyvtárában tudjon létrehozni egy táblázatot, amely tartalmazza az összes szükséges információt a lemezen lévő fájlokról, valamint a csomagtartó területéről. Minden tábla létrehozásához engedélyt kell kérni. A későbbi indítások során az auditor (ellenőr) átvizsgálja a lemezeket, összehasonlítva az egyes fájlok adatait a rekordokkal.
Fertőzések észlelése esetén az auditor (ellenőr) használhatja a saját gyógyító modulját, amely helyreállítja a vírus által sérült fájlt. A fájlok visszaállításához az ellenőrnek nem kell semmit tudnia egy adott vírustípusról, elég a táblázatokban tárolt fájlok adatait felhasználni.
Ezen kívül szükség esetén víruskereső is hívható.
Szűrő programok (monitorok). A szűrőprogramok (monitorok) vagy „figyelők” kis rezidens programok, amelyek a számítógép működése során a vírusokra jellemző gyanús műveletek észlelésére szolgálnak. Ilyen műveletek lehetnek:
COM, EXE kiterjesztésű fájlok javításának kísérlete;
Fájl attribútumok módosítása;
Közvetlen írás a lemezre abszolút címen;
Írjon a lemez indító szektoraiba;
Amikor bármely program megpróbálja végrehajtani a megadott műveleteket, az „őr” üzenetet küld a felhasználónak, és felajánlja, hogy tiltja vagy engedélyezi a megfelelő műveletet. A szűrőprogramok nagyon hasznosak, mert képesek a vírust a replikáció előtt a létezés legkorábbi szakaszában észlelni. Azonban nem „tisztítják” a fájlokat és a lemezeket. A vírusok elpusztításához más programokat, például fágokat kell használnia.
Vakcinák vagy immunizálók. A vakcinák olyan rezidens programok, amelyek megakadályozzák a fájlfertőzéseket. Vakcinákat alkalmaznak, ha nincsenek orvosi programok, amelyek „kezelnék” ezt a vírust. A védőoltás csak ismert vírusok ellen lehetséges. A vakcina úgy módosítja a programot vagy a lemezt, hogy az ne befolyásolja a működését, és a vírus fertőzöttnek fogja fel, ezért nem tud gyökeret verni. Jelenleg az oltóprogramok használata korlátozott.
Scanner. A víruskeresők működési elve a fájlok, szektorok és a rendszermemória ellenőrzésén, ismert és új (a szkenner számára ismeretlen) vírusok keresésén alapul. Az ismert vírusok kereséséhez úgynevezett „maszkokat” használnak. A vírus maszkja egy állandó kódsorozat, amely az adott vírusra specifikus. Ha a vírus nem tartalmaz tartós maszkot, vagy ennek a maszknak a hossza nem elég hosszú, akkor más módszereket kell alkalmazni. Ilyen módszer például egy algoritmikus nyelv, amely mindent leír lehetséges opciók kód, amely akkor fordulhat elő, ha egy ilyen típusú vírussal megfertőződik. Ezt a megközelítést néhány vírusirtó alkalmazza a polimorf vírusok kimutatására. A szkennerek két kategóriába is sorolhatók – „univerzális” és „specializált”. Univerzális szkennerek minden típusú vírus felkutatására és semlegesítésére tervezték, függetlenül attól, hogy milyen operációs rendszerben működik a szkenner. A speciális szkennereket korlátozott számú vírus vagy csak egy vírusosztály, például makrovírusok semlegesítésére tervezték. A kizárólag makróvírusokra tervezett speciális szkennerek gyakran bizonyulnak a legkényelmesebb és legmegbízhatóbb megoldásnak a dokumentumkezelő rendszerek védelmére MSWord és MSExcel környezetben.
A szkennerek is fel vannak osztva „rezidensekre” (monitorok, őrök), amelyek menet közbeni szkennelést végeznek, és „nem rezidensekre”, amelyek csak kérésre vizsgálják a rendszert. A "rezidens" szkennerek általában többet nyújtanak megbízható védelem rendszerek, hiszen azonnal reagálnak a vírus megjelenésére, míg egy „nem rezidens” szkenner csak a következő indításkor képes azonosítani a vírust. Másrészt, egy állandó szkenner némileg lelassíthatja a számítógépet, beleértve az esetleges téves pozitív eredményeket is.
Minden típusú szkenner előnyei közé tartozik a sokoldalúság, hátránya a víruskeresés viszonylag alacsony sebessége.
CRC szkennerek. A CRC szkennerek működési elve a CRC összegek kiszámításán ( ellenőrző összegeket) a lemezen lévő fájlokhoz/rendszerszektorokhoz. Ezek a CRC-összegek ezután a víruskereső adatbázisban tárolódnak, valamint néhány egyéb információ is: fájlok hossza, utolsó módosításuk dátuma stb. A későbbi indításkor a CRC szkennerek összehasonlítják az adatbázisban lévő adatokat a tényleges számított értékekkel. Ha az adatbázisban rögzített fájlinformációk nem egyeznek a valós értékekkel, akkor a CRC szkennerek jelzik, hogy a fájl módosult vagy vírussal fertőződött meg. A lopakodó algoritmusokat használó CRC szkennerek igen erős fegyvert jelentenek a vírusok ellen: a vírusok majdnem 100%-át szinte azonnal észlelik, miután megjelennek a számítógépen. Az ilyen típusú vírusirtóknak azonban van egy hibája, amely jelentősen csökkenti hatékonyságukat. Ez a hátrány az, hogy a CRC szkennerek nem képesek elkapni a vírust abban a pillanatban, amikor az megjelenik a rendszerben, hanem csak egy idő után, azután, hogy a vírus elterjedt a számítógépen. A CRC szkennerek nem tudnak vírust észlelni az új fájlokban (e-mailekben, hajlékonylemezeken, biztonsági mentésből visszaállított fájlokban vagy fájlok archívumból történő kicsomagolásakor), mivel adatbázisaik nem tartalmaznak információkat ezekről a fájlokról. Sőt, időnként megjelennek vírusok, amelyek kihasználják a CRC szkennerek ezt a „gyengeségét”, csak az újonnan létrehozott fájlokat fertőzik meg, és így láthatatlanok maradnak számukra.
Blokkolók. A blokkolók olyan rezidens programok, amelyek elfogják a „vírusveszélyes” helyzeteket, és értesítik erről a felhasználót. A „vírusveszélyes” közé tartoznak a futtatható fájlok írására való megnyitás hívásai, a lemezek rendszerindító szektoraiba vagy a merevlemez MBR-ébe való írás, a programok rezidens maradási kísérletei és így tovább, vagyis a vírusokra jellemző hívások a szaporodás pillanata. Néha egyes blokkoló funkciókat a rezidens szkennerekben valósítanak meg.
A blokkolók előnyei közé tartozik, hogy képesek felismerni és megállítani a vírust a szaporodás legkorábbi szakaszában. A hátrányok közé tartozik a blokkoló elleni védelem megkerülésének módjai és a téves pozitív eredmények nagy száma.
Szintén meg kell jegyezni a víruskereső eszközök olyan irányát, mint a vírusblokkolók, amelyek számítógépes hardverkomponensek formájában készülnek. A legelterjedtebb a BIOS-ba épített írásvédelem a merevlemez MBR-jében. Csakúgy, mint a szoftverblokkolók esetében, az ilyen védelem könnyen megkerülhető a lemezvezérlő portjaira történő közvetlen írással, és az FDISK DOS segédprogram elindítása azonnal „hamis pozitív” eredményt okoz a védelemről.
Számos univerzális hardverblokkoló létezik, de a fent felsorolt hátrányok mellett a szabványos számítógép-konfigurációkkal való kompatibilitás és a telepítésük és konfigurálásuk bonyolultsága is problémát jelent. Mindez rendkívül népszerűtlenné teszi a hardverblokkolókat más típusú vírusvédelemmel szemben.
2.4 A víruskereső csomagok összehasonlítása
Függetlenül attól, hogy mit tájékoztatási rendszer védeni kell, a víruskeresők összehasonlításakor a legfontosabb paraméter a vírusok és más rosszindulatú programok észlelésének képessége.
Bár ez a paraméter fontos, messze nem az egyetlen.
A tény az, hogy egy vírusvédelmi rendszer hatékonysága nem csak attól függ, hogy képes-e felismerni és semlegesíteni a vírusokat, hanem sok más tényezőtől is.
A víruskeresőnek kényelmesnek kell lennie, anélkül, hogy elterelné a számítógép-felhasználó figyelmét közvetlen feladatai ellátásáról. Ha a vírusirtó állandó kérésekkel és üzenetekkel bosszantja a felhasználót, előbb-utóbb letiltja. A víruskereső felületnek barátságosnak és érthetőnek kell lennie, mivel nem minden felhasználó rendelkezik széleskörű tapasztalattal számítógépes programok. Anélkül, hogy megértené a képernyőn megjelenő üzenet jelentését, akaratlanul is megengedheti a vírusfertőzést, még akkor is, ha egy vírusirtó telepítve van.
A legkényelmesebb vírusvédelmi mód az összes megnyitott fájl ellenőrzése. Ha a víruskereső nem tud működni ebben a módban, a felhasználónak minden nap le kell futtatnia az összes lemezt az újonnan megjelenő vírusok észleléséhez. Ez az eljárás több tíz percet vagy akár órákat is igénybe vehet, ha arról beszélünk például a szerverre telepített nagy lemezekről.
Mivel minden nap új vírusok jelennek meg, rendszeresen frissíteni kell a víruskereső adatbázist. Ellenkező esetben a vírusvédelem hatékonysága nagyon alacsony lesz. A modern antivírusok megfelelő konfiguráció után automatikusan frissíthetik a víruskereső adatbázisokat az interneten keresztül anélkül, hogy elvonnák a felhasználók és a rendszergazdák figyelmét e rutinmunka elvégzésétől.
Egy nagy vállalati hálózat védelme során az antivírusok összehasonlításának olyan paramétere kerül előtérbe, mint a hálózati vezérlőközpont jelenléte. Ha vállalati hálózat több száz és ezer munkaállomást, tíz és száz szervert egyesít, szinte lehetetlen hatékony vírusvédelmet megszervezni hálózati vezérlőközpont nélkül. Egy vagy több rendszergazdák nem lesz képes megkerülni az összes munkaállomást és szervert vírusirtó programok telepítésével és konfigurálásával. Itt olyan technológiákra van szükség, amelyek lehetővé teszik a víruskeresők központi telepítését és konfigurálását a vállalati hálózat összes számítógépén.
Internetes oldalak védelme, mint pl levelezőszerverek, és az üzenetküldő szolgáltatás szerverei speciális vírusirtó eszközök használatát igénylik. A fájlok átvizsgálására tervezett hagyományos víruskereső programok nem képesek megtalálni a rosszindulatú kódokat az üzenetküldő szerverek adatbázisaiban vagy a levelezőszervereken áthaladó adatfolyamban.
A víruskereső termékek összehasonlításakor általában más tényezőket is figyelembe vesznek. A kormányzati szervek – egyéb feltételek mellett – előnyben részesíthetik az összes szükséges tanúsítvánnyal rendelkező, hazai gyártású vírusirtót. Jelentős szerepet játszik az is, hogy egy-egy vírusirtó eszköz hírnevet szerzett a számítógép-felhasználók és a rendszergazdák körében. A személyes preferenciák is jelentős szerepet játszhatnak a választásban.
A víruskereső fejlesztők gyakran független teszteredményeket használnak fel termékeik előnyeinek bizonyítására. Ugyanakkor a felhasználók gyakran nem értik, hogy pontosan mit és hogyan teszteltek ebben a tesztben.
Ebben a munkában a legnépszerűbbeket összehasonlító elemzésnek vetettük alá. Ebben a pillanatban víruskereső programok, nevezetesen: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft.
A brit Virus Bulletin magazin az elsők között tesztelte a víruskereső termékeket. A weboldalukon közzétett első tesztek 1998-ból származnak. A teszt a WildList rosszindulatú programok gyűjteményén alapul. A teszt sikeres teljesítéséhez azonosítani kell az ebben a gyűjteményben található összes vírust, és a „tiszta” naplófájlok gyűjteményén meg kell mutatni a hamis pozitív értékek nulla szintjét. A tesztelést évente többször végzik különböző operációs rendszereken; A tesztet sikeresen teljesítő termékek VB100%-os díjat kapnak. Az 1. ábra azt mutatja, hogy hány VB100% díjat kaptak a különböző vírusirtó cégek termékei.
Természetesen a Virus Bulletin magazin nevezhető a legrégebbi vírustesztelőnek, de pátriárka státusza nem mentesíti a víruskereső közösség kritikája alól. Először is, a WildList csak vírusokat és férgeket tartalmaz, és csak a Windows platformra vonatkozik. Másodszor, a WildList gyűjtemény csekély számú rosszindulatú programot tartalmaz, és nagyon lassan töltődik fel: havonta mindössze néhány tucat új vírus jelenik meg a gyűjteményben, míg például az AV-Test gyűjtemény ez idő alatt több tíz ill. akár több százezer másolatot a rosszindulatú szoftverekről.
Mindez arra utal, hogy jelenlegi formájában a WildList gyűjtemény morálisan elavult, és nem tükrözi a valós helyzetet az internetes vírusokkal. Ennek eredményeként a WildList gyűjteményre épülő tesztek egyre értelmetlenebbé válnak. Jók olyan termékek reklámozására, amelyek átmentek rajtuk, de valójában nem tükrözik a vírusvédelem minőségét.
1. ábra – Sikeresen teljesített VB-tesztek száma 100%
Független kutatólaboratóriumok, mint például az AV-Comparatives, AV-Tests, évente kétszer tesztelik a víruskereső termékeket a rosszindulatú programok észlelésének szintjére. Ugyanakkor azok a gyűjtemények, amelyeken tesztelik, akár egymillió rosszindulatú programot is tartalmaznak, és rendszeresen frissítik őket. A teszteredményeket ezen szervezetek weboldalain (www.AV-Comparatives.org, www.AV-Test.org) és a PC World, PC Welt ismert számítógépes magazinokban teszik közzé. A következő tesztek eredményeit az alábbiakban mutatjuk be:
2. ábra – A rosszindulatú programok általános észlelési aránya az AV-Test szerint
Ha a leggyakoribb termékekről beszélünk, akkor ezeknek a teszteknek az eredményei szerint csak a Kaspersky Lab és a Symantec megoldásai vannak az első háromban. Külön figyelmet érdemel Avira, a tesztek éllovasa.
Az AV-Comparatives és az AV-Test kutatólaboratóriumok tesztjei, mint minden tesztnek, megvannak az előnyei és hátrányai. Az előnyök közé tartozik, hogy a tesztelést a rosszindulatú programok nagy gyűjteményén végzik, és ezek a gyűjtemények a rosszindulatú programok széles skáláját tartalmazzák. Hátránya, hogy ezek a gyűjtemények nemcsak „friss” kártevő-mintákat tartalmaznak, hanem viszonylag régieket is. Általában az elmúlt hat hónapban gyűjtött mintákat használják fel. Ezenkívül ezek a tesztek elemzik az ellenőrzés eredményeit merevlemez igény szerint, míg in való élet a felhasználó letölti a fertőzött fájlokat az internetről, vagy e-mailben mellékletként kapja meg azokat. Fontos, hogy az ilyen fájlokat pontosan abban a pillanatban észlelje, amikor megjelennek a felhasználó számítógépén.
Az egyik legrégebbi brit számítógépes magazin, a PC Pro kísérletet tett egy olyan tesztelési módszertan kidolgozására, amely nem szenved ettől a problémától. Tesztjük a MessageLabs szerverein áthaladó forgalomban két héttel a teszt előtt felfedezett kártevők gyűjteményét használta. A MessageLabs szűrési szolgáltatásokat kínál ügyfeleinek különféle típusok forgalmat, és a rosszindulatú programok gyűjteménye valóban tükrözi a számítógépes vírusok internetes terjedésének helyzetét.
A PC Pro magazin csapata nem egyszerűen átvizsgálta a fertőzött fájlokat, hanem szimulálta a felhasználói műveleteket: a fertőzött fájlokat mellékletként csatolták a levelekhez, és ezeket a leveleket letöltötték egy számítógépre, amelyen vírusirtó telepítve volt. Emellett speciálisan megírt szkriptek segítségével egy webszerverről töltötték le a fertőzött fájlokat, azaz szimulálták az internetezést. Az ilyen tesztek elvégzésének körülményei a lehető legközelebb állnak a valódiakhoz, ami nem befolyásolhatja az eredményeket: a legtöbb víruskereső kimutatási szintje lényegesen alacsonyabbnak bizonyult, mint az AV-ben egy egyszerű igény szerinti vizsgálatnál. Összehasonlító és AV-Teszt tesztek. Az ilyen tesztekben fontos szerepet játszik az, hogy a vírusirtó fejlesztők milyen gyorsan reagálnak az új kártevők megjelenésére, valamint milyen proaktív mechanizmusokat alkalmaznak a rosszindulatú programok észlelésére.
A hatékony vírusvédelem egyik legfontosabb összetevője az a sebesség, amellyel a víruskereső frissítések új kártevők aláírásával jelennek meg. Minél gyorsabban jelenik meg az aláírási adatbázis frissítése, annál kevesebb ideig marad védelem nélkül a felhasználó.
3. ábra – Átlagos válaszidő új fenyegetésekre
Az utóbbi időben olyan gyakran jelennek meg új kártevők, hogy a víruskereső laboratóriumoknak alig van idejük reagálni az új minták megjelenésére. Ilyen helyzetben felmerül a kérdés, hogyan tud egy vírusirtó nemcsak a már ismert vírusokat, hanem az olyan új fenyegetéseket is felvenni, amelyekhez még nem adtak ki észlelési szignatúrát.
Az ismeretlen fenyegetések észlelésére úgynevezett proaktív technológiákat alkalmaznak. Ezek a technológiák két típusra oszthatók: heurisztikus (kódjuk elemzése alapján észlelik a rosszindulatú programokat) és viselkedésblokkolók (viselkedésük alapján blokkolják a rosszindulatú programok működését, amikor azok számítógépen futnak).
Ha már a heurisztikákról beszélünk, azok hatékonyságát régóta vizsgálja az AV-Comparatives, az Andreas Climenti által vezetett kutatólaboratórium. Az AV-Comparatives csapata speciális technikát alkalmaz: az antivírusokat a jelenlegi vírusgyűjteményhez hasonlítják, de három hónapos aláírású antivírust használnak. Így a víruskeresőnek olyan rosszindulatú programokkal kell küzdenie, amelyekről semmit sem tud. A víruskeresők ellenőrzése a merevlemezen található rosszindulatú programok gyűjteményének vizsgálatával történik, így csak a heurisztika hatékonyságát tesztelik. Egy másik proaktív technológiát, a viselkedési blokkolót nem használnak ezekben a tesztekben. Jelenleg még a legjobb heurisztika is csak körülbelül 70%-os észlelési arányt mutat, és sokan közülük a tiszta fájlokon is téves pozitív eredményeket mutatnak. Mindez arra utal, hogy ez a proaktív észlelési módszer egyelőre csak az aláírási módszerrel egyidejűleg használható.
Ami egy másik proaktív technológiát illeti – egy viselkedési blokkolót – ezen a területen nem végeztek komoly összehasonlító teszteket. Először is, sok víruskereső termék (Doctor Web, NOD32, Avira és mások) nem rendelkezik viselkedésblokkolóval. Másodszor, az ilyen tesztek elvégzése bizonyos nehézségekkel jár. A tény az, hogy a viselkedési blokkolók hatékonyságának teszteléséhez nem kell átvizsgálnia egy lemezt rosszindulatú programok gyűjteményével, hanem futtassa ezeket a programokat a számítógépén, és figyelje meg, hogy a víruskereső milyen sikeresen blokkolja tevékenységüket. Ez a folyamat nagyon munkaigényes, és csak néhány kutató tud ilyen teszteket végezni. Jelenleg csak az AV-Comparatives csapata által végzett egyedi terméktesztek eredményei állnak a nagyközönség rendelkezésére. Ha a tesztelés során az antivírusok sikeresen blokkolták a számukra ismeretlen rosszindulatú programok működését, miközben azok futottak a számítógépen, akkor a termék Proaktív védelem díjat kapott. Jelenleg az F-Secure a DeepGuard viselkedési technológiával és a Kaspersky Anti-Virus a proaktív védelem modullal kapott ilyen díjat.
A rosszindulatú programok viselkedésének elemzésén alapuló fertőzésmegelőzési technológiák egyre elterjedtebbek, és aggasztó az átfogó összehasonlító tesztek hiánya ezen a területen. A közelmúltban az AV-Test kutatólaboratórium szakemberei széleskörű vitát folytattak erről a kérdésről, amelyen vírusirtó termékek fejlesztői is részt vettek. Ennek a megbeszélésnek az eredménye egy új módszertan született a víruskereső termékek ismeretlen fenyegetésekkel szembeni ellenálló képességének tesztelésére.
A rosszindulatú programok magas szintű észlelése különféle technológiák segítségével a vírusirtó egyik legfontosabb jellemzője. Ugyanilyen fontos jellemző azonban a hamis pozitív eredmények hiánya. A hamis pozitív eredmények nem okozhatnak kisebb kárt a felhasználónak, mint egy vírusfertőzés: blokkolja a munkát szükséges programokat, blokkolja a webhelyekhez való hozzáférést, és így tovább.
Kutatásai során az AV-Comparatives a vírusirtók kártevő-felderítő képességeinek tanulmányozása mellett tiszta fájlok gyűjteményén is végez hamis pozitív teszteket. A teszt szerint a legtöbb hamis pozitív eredményt a Doctor Web és az Avira antivírusoknál találták.
A vírusok ellen nincs 100%-os védelem. A felhasználók időről időre találkoznak olyan helyzettel, amikor egy rosszindulatú program behatolt a számítógépükbe, és a számítógép megfertőződik. Ez vagy azért történik, mert egyáltalán nem volt vírusirtó a számítógépen, vagy azért, mert a víruskereső nem észlelte a kártevőt sem aláírási, sem proaktív módszerekkel. Ilyen helyzetben fontos, hogy amikor friss aláírási adatbázisokkal rendelkező vírusirtót telepít a számítógépére, a vírusirtó ne csak egy rosszindulatú programot tudjon észlelni, hanem sikeresen kiküszöbölje tevékenységének minden következményét és meggyógyítsa az aktív fertőzést. Ugyanakkor fontos megérteni, hogy a víruskészítők folyamatosan fejlesztik „készségeiket”, és egyes alkotásaikat meglehetősen nehéz eltávolítani a számítógépről - a rosszindulatú programok különböző utak elfedik jelenlétüket a rendszerben (beleértve a rootkitek használatát), és még a vírusirtó programok működését is zavarják. Ezenkívül nem elég egyszerűen törölni vagy fertőtleníteni egy fertőzött fájlt, el kell távolítania a rosszindulatú folyamat által a rendszerben végrehajtott összes módosítást, és teljesen vissza kell állítania a rendszer működését. Csapat Orosz portál Az Anti-Malware.ru hasonló tesztet végzett, eredményeit a 4. ábra mutatja be.
4. ábra – Aktív fertőzés kezelése
Fentebb a víruskereső tesztelésének különböző megközelítéseit tárgyaltuk, és bemutattuk, hogy a vírusirtó működésének mely paramétereit veszik figyelembe a tesztelés során. Arra a következtetésre juthatunk, hogy egyes víruskeresők esetében az egyik mutató előnyösnek bizonyul, mások számára egy másik. Ugyanakkor természetes, hogy az antivírus fejlesztők reklámanyagaikban csak azokra a tesztekre koncentrálnak, ahol termékeik vezető pozíciót foglalnak el. A Kaspersky Lab például az új fenyegetések megjelenésére való reakció sebességére, az Eset heurisztikus technológiáinak erejére összpontosít, a Doctor Web pedig az aktív fertőzések kezelésében nyújtott előnyeit írja le.
Ezért el kell végezni a különböző tesztek eredményeinek szintézisét. Ez összefoglalja az antivírusok álláspontját a vizsgált tesztekben, és egy integrált értékelést is nyújt arról, hogy egy adott termék átlagosan milyen helyet foglal el az összes tesztben. Ennek eredményeként az első három helyezett a Kaspersky, Avira, Symantec lett.
Az elemzett víruskereső csomagok alapján a szoftver, amelyet az SVC 5.0 vírussal fertőzött fájlok keresésére és fertőtlenítésére terveztek. Ez a vírus nem vezet fájlok jogosulatlan törléséhez vagy másolásához, de jelentősen megzavarja a számítógépes szoftverek teljes körű működését.
A fertőzött programok hosszabbak, mint a forráskód. A fertőzött gépen lévő könyvtárak böngészésekor azonban ez nem lesz látható, mivel a vírus ellenőrzi, hogy a talált fájl fertőzött-e vagy sem. Ha egy fájl fertőzött, a nem fertőzött fájl hosszát rögzíti a DTA.
Ezt a vírust az alábbiak szerint észlelheti. A vírusadatok területén található egy "(c) 1990 by SVC,Ver. 5.0" karakterlánc, amellyel a vírus, ha a lemezen van, észlelhető.
Víruskereső program írásakor a következő műveletsorokat kell végrehajtani:
1 Minden beolvasott fájl esetében meghatározásra kerül a létrehozásának ideje.
2 Ha a másodpercek száma hatvan, akkor három bájtot ellenőrzünk a „fájl hossza mínusz 8AN” eltolásnál. Ha ezek megegyeznek 35H, 2EN, 30H, akkor a fájl fertőzött.
3 Az eredeti kód első 24 bájtja dekódolásra kerül, amelyek a „fájl hossza mínusz 01CFН plusz 0BAAN” eltolásban találhatók. A dekódoló billentyűk a „fájl hossza mínusz 01CFН plusz 0С1АН” és a „fájl hossza mínusz 01CFН plusz 0С1BN” eltolásoknál találhatók.
4 A dekódolt bájtok átíródnak a program elejére.
5 A fájl „csonkolt” a „fájl hossza mínusz 0С1F” értékre.
A program TurboPascal programozási környezetben készült. A program szövegét az A melléklet tartalmazza.
Következtetés
Ebben a kurzusmunkában a vírusirtó csomagok összehasonlító elemzését végeztük el.
Az elemzés során a munka elején feltett feladatokat sikeresen megoldották. Így tanulmányozták az információbiztonság fogalmait, a számítógépes vírusokat és a vírusirtó eszközöket, meghatározták az információbiztonságot fenyegető veszélyek típusait, a védelmi módszereket, megvizsgálták a számítógépes vírusok és vírusirtó programok osztályozását, valamint összehasonlító elemzést végeztek a vírusirtókról. csomagok végrehajtása megtörtént, egy programot írtak, amely megkeresi a fertőzött fájlokat.
A munka során kapott eredmények felhasználhatók a vírusirtó szer kiválasztásakor.
Az összes kapott eredményt diagramok segítségével tükrözi a munka, így a felhasználó önállóan ellenőrizheti a végső diagramon levont következtetéseket, amely tükrözi a víruskereső termékek különböző tesztjeinek azonosított eredményeinek szintézisét.
A munka során kapott eredmények alapul szolgálhatnak a vírusirtó programok független összehasonlításához.
Az informatikai technológiák elterjedtségének tükrében a bemutatott kurzusmunka releváns és megfelel a vele szemben támasztott követelményeknek. A munka során a legnépszerűbb vírusirtó eszközöket vették figyelembe.
Felhasznált irodalom jegyzéke
1 Anin B. Számítógépes információk védelme. - Szentpétervár. : BHV – Szentpétervár, 2000. – 368 p.
2 Artyunov V.V. Információvédelem: tankönyv. – módszer. juttatás. M.: Libéria - Bibinform, 2008. - 55 p. – (Könyvtáros és idő. XXI. század; 99. szám).
3 Korneev I.K., E.A. Stepanov Információvédelem az irodában: tankönyv. – M.: Prospekt, 2008. – 333 p.
5 Kupriyanov A.I. Az információvédelem alapjai: tankönyv. juttatás. – 2. kiadás. törölve – M.: Akadémia, 2007. – 254 p. – (Felsőfokú szakmai végzettség).
6 Szemenenko V. A., N. V. Fedorov Szoftver és hardver információvédelem: tankönyv. segítség a diákoknak egyetemek – M.: MGIU, 2007. – 340 p.
7 Tsirlov V.L. Az információbiztonság alapjai: egy rövid tanfolyam. – Rostov n/d: Főnix, 2008. – 254 p. (Szakmai oktatás).
Alkalmazás
Programlista
ProgramANTIVIRUS;
Dos-t, crt-t, nyomtatót használ;
St80 típus = String;
FileInfection: File Of Byte;
SearchFile:SearchRec;
Mas: St80 tömb;
MasByte: Array of Byte;
Pozíció,I,J,K:Bájt;
Num,NumberOfFile,NumberOfInfFile:Word;
Flag,NextDisk,Hiba:Boolean;
Kulcs1,Key2,Key3,NumError:Byte;
MasScreen: Array Of Byte Absolute 800:0000 USD;
Eljárás kúra (St: St80);
I: Byte; MasCure: Array Of Byte;
Hozzárendelés(Fájlfertőzés,St); Reset(FileInfection);
NumError:=IOResult;
If(NumError<>
Seek(Fájlfertőzés,Fájlméret(Fájlfertőzés) - ($0C1F - $0C1A));
NumError:=IOResult;
If(NumError<>0) Akkor Begin Error:=True; Kijárat; Vége;
Olvasás(Fájlfertőzés,Kulcs1);
NumError:=IOResult;
If(NumError<>0) Akkor Begin Error:=True; Kijárat; Vége;
Olvass(Fájlfertőzés,Key2);
NumError:=IOResult;
If(NumError<>0) Akkor Begin Error:=True; Kijárat; Vége;
Seek(Fájlfertőzés,Fájlméret(Fájlfertőzés) - ($0C1F - $0BAA));
NumError:=IOResult;
If(NumError<>0) Akkor Begin Error:=True; Kijárat; Vége;
I:=1-től 24-ig tegye
Olvasás(Fájlfertőzés,MasCure[i]);
NumError:=IOResult;
If(NumError<>0) Akkor Begin Error:=True; Kijárat; Vége;
Key3:=MasCure[i];
MasCure[i]:=Key3;
Seek(Fájlfertőzés,0);
NumError:=IOResult;
If(NumError<>0) Akkor Begin Error:=True; Kijárat; Vége;
Az I:=1-től 24-ig írd be a Write(FileInfection,MasCure[i]);
Seek(Fájlfertőzés,Fájlméret(Fájlfertőzés) - $0C1F);
NumError:=IOResult;
If(NumError<>0) Akkor Begin Error:=True; Kijárat; Vége;
Csonka(Fájlfertőzés);
NumError:=IOResult;
If(NumError<>0) Akkor Begin Error:=True; Kijárat; Vége;
Bezárás (FileInfection); NumError:=IOResult;
If(NumError<>0) Akkor Begin Error:=True; Kijárat; Vége;
F1 eljárás (St: St80);
FindFirst(St + "*.*", $3F, SearchFile);
While (SearchFile.Attr = $10) And (DosError = 0) And
((SearchFile.Name = ".") Vagy (SearchFile.Name = "..")) Csináld
FindNext(SearchFile);
Míg (DosError = 0) Do
Ha megnyomja a gombot, akkor
If (Ord(ReadKey) = 27) Then Halt;
If (SearchFile.Attr = $10) Akkor
Mas[k]:=St + SearchFile.Name + "\";
If(SearchFile.Attr<>10 dollár) Akkor
NumberOfFile:=Fájlszám + 1;
UnpackTime(SearchFile.Time, DT);
I:=18-70 esetén tegye a MasScreen:=20 USD-t;
Write(St + SearchFile.Name," ");
Ha (Dt.Sec = 60) Akkor
Assign(Fájlfertőzés,St + SearchFile.Name);
Reset(FileInfection);
NumError:=IOResult;
If(NumError<>0) Akkor Begin Error:=True; Kijárat; Vége;
Seek(Fájlfertőzés,Fájlméret(Fájlfertőzés) - $8A);
NumError:=IOResult;
If(NumError<>0) Akkor Begin Error:=True; Kijárat; Vége;
Az I:=1-től 3-ig: Read(FileInfection,MasByte[i]);
Bezárás (FileInfection);
NumError:=IOResult;
If(NumError<>0) Akkor Begin Error:=True; Kijárat; Vége;
Ha (MasByte = 35 USD) És (MasByte = 2E USD) És
(MasByte = 30 USD) Akkor
NumberOfInfFile:=NumberOfInfFile + 1;
Write(St + SearchFile.Name," fertőzött.",
"Törlés?");
If (Ord(Ch) = 27) Then Exit;
Amíg (Ch = "Y") vagy (Ch = "y") vagy (Ch = "N")
Ha (Ch = "Y") Vagy (Ch = "y") Akkor
Cure(St + SearchFile.Name);
If(NumError<>0) Majd kilépés;
I:=0-tól 79-ig tegye a MasScreen:=20 USD-t;
FindNext(SearchFile);
GoToXY(29;1); TextAttr:=$1E; GoToXY(20;2); TextAttr:=17 USD;
Writeln("Programma dlya poiska i lecheniya fajlov,");
Writeln("zaragennih SVC50.");
TextAttr:=$4F; GoToXY(1,25);
Write(" ESC - kilépés ");
TextAttr:=$1F; GoToXY(1,6);
Write("Kakoj disk proveit?");
If (Ord(Disk) = 27) Then Exit;
R.Ah:=$0E; R.Dl:=Ord(UpCase(Disk))-65;
Intr($21,R); R.Ah:=19 USD; Intr($21,R);
Flag:=(R.Al = (Ord(UpCase(Disk))-65));
St:=UpCase(Lemez) + ":\";
Writeln("Testiruetsya lemez ",St," ");
Writeln("Testiruetsya fajl");
NumberOfFile:=0;
NumberOfInfFile:=0;
Ha (k = 0) vagy Hiba, akkor Flag:=False;
Ha (k > 0) Akkor K:=K-1;
Ha (k=0) Akkor Flag:=False;
Ha (k > 0) Akkor K:=K-1;
Writeln("Ellenőrzött fajlov - ",Fájlszám);
Writeln("Zarageno fajlov - ",InfFile száma);
Writeln("Izlecheno fajlov - ",Num);
Write("Ellenőrzi a gyógyszerlemezt? ");
If (Ord(Ch) = 27) Then Exit;
Amíg (Ch = "Y") vagy (Ch = "y") vagy (Ch = "N") vagy (Ch = "n");
Ha (Ch = "N") Vagy (Ch = "n") Akkor NextDisk:=False;
2.1.4 Vírusellenes szerek összehasonlító elemzése.
Számos különböző víruskereső program létezik hazai és nem hazai eredetű. És annak érdekében, hogy megértsük, melyik víruskereső program jobb, összehasonlító elemzést fogunk végezni ezekről. Ehhez vegyük a modern víruskereső programokat, valamint a PC-felhasználók által leggyakrabban használtakat.
Panda Antivirus 2008 3.01.00
Kompatibilis rendszerek: Windows 2000/XP/Vista
Telepítés
Nehéz elképzelni egyszerűbb és gyorsabb telepítést, mint amit a Panda 2008 kínál.Csak azt mondják, hogy milyen fenyegetésekkel szemben véd. ez az alkalmazás A telepítés típusának vagy frissítési forrásának megválasztása nélkül pedig kevesebb mint egy perc alatt védelmet nyújtanak a vírusok, férgek, trójaiak, kémprogramok és adathalászat ellen, miután átkutatják a számítógép memóriáját vírusok után kutatva. Nem támogatja azonban a modern antivírusok néhány más fejlett funkcióját, például a gyanús weboldalak blokkolását vagy a személyes adatok védelmét.
Interfész és működés
A program felülete nagyon világos. A meglévő beállítások minimális változtatási szintet biztosítanak, csak a lényegesek érhetők el. Egyáltalán, önkonfiguráció választható ebben az esetben: az alapértelmezett beállítások megfelelnek a legtöbb felhasználónak, védelmet nyújtanak az adathalász támadások, kémprogramok, vírusok, hackeralkalmazások és egyéb fenyegetések ellen.
A Panda csak az interneten keresztül frissíthető. Sőt, erősen ajánlott a víruskereső telepítése után azonnal telepíteni a frissítést, különben a Panda rendszeresen hozzáférést kér a „szülő” szerverhez, egy kis, de jól észrevehető ablakkal a képernyő alján, ami az aktuális védelem alacsony szintjét jelzi.
A Panda 2008 minden fenyegetést ismertre és ismeretlenre oszt. Az első esetben letilthatjuk bizonyos típusú fenyegetések keresését, a második esetben meghatározzuk, hogy a fájlok, azonnali üzenetek és e-mailek mélyreható vizsgálatot végezzenek-e az ismeretlen rosszindulatú objektumok keresésére. Ha a Panda gyanús viselkedést észlel valamelyik alkalmazásban, azonnal értesíti Önt, így védelmet nyújt a víruskereső adatbázisban nem szereplő fenyegetésekkel szemben.
A Panda lehetővé teszi a teljes merevlemez vagy annak egyes részei átvizsgálását. Ne feledje, hogy az archívum ellenőrzése alapértelmezés szerint le van tiltva. A beállítások menüben megjelennek a vizsgált fájlok kiterjesztései, szükség esetén saját kiterjesztéseket is hozzáadhat. Külön említést érdemel az észlelt fenyegetések statisztikája, amely kördiagram formájában jelenik meg, amely egyértelműen bemutatja az egyes fenyegetéstípusok részesedését a rosszindulatú objektumok teljes számában. Az észlelt objektumokról jelentés készíthető egy kiválasztott időtartamra.
· minimális rendszerkövetelmények: Windows 98/NT/Me/2000/XP.
A hardverkövetelmények megfelelnek a megadott operációs rendszerre vonatkozó követelményeknek.
Főbb funkcionális jellemzők:
· férgek, vírusok, trójaiak, polimorf vírusok, makróvírusok, kémprogramok, tárcsázók, reklámprogramok, hacker segédprogramok és rosszindulatú szkriptek elleni védelem;
· frissítés víruskereső adatbázisokóránként akár többször is, az egyes frissítések mérete legfeljebb 15 KB;
· a számítógép rendszermemóriájának ellenőrzése olyan vírusok észlelésére, amelyek nem fájlok formájában léteznek (például CodeRed vagy Slammer);
· heurisztikus elemző, amely lehetővé teszi az ismeretlen fenyegetések semlegesítését a megfelelő vírusadatbázis-frissítések kiadása előtt.
Telepítés
A Dr.Web az elején őszintén figyelmeztet, hogy nem áll szándékában más vírusirtó alkalmazásokkal kijönni, és arra kéri Önt, hogy bizonyosodjon meg arról, hogy nincsenek ilyen alkalmazások a számítógépén. Másképp együttműködés„kiszámíthatatlan következményekhez” vezethet. Ezután válassza ki az „Egyéni” vagy „Normál” (ajánlott) telepítést, és kezdje el tanulmányozni a bemutatott fő összetevőket:
· szkenner Windowshoz. Fájlok kézi ellenőrzése;
· konzollapolvasó Windowshoz. Parancsfájlokból történő indításhoz tervezték;
· SpiDer Guard. Fájlok menet közbeni ellenőrzése, a fertőzések valós idejű megelőzése;
· SpiDer Mail. A POP3, SMTP, IMAP és NNTP protokollokon keresztül kapott üzenetek vizsgálata.
Interfész és működés
Feltűnő a konzisztencia hiánya a víruskereső modulok interfészében, ami további vizuális kényelmetlenséget okoz a Dr.Web komponensekhez való amúgy sem túl barátságos hozzáféréssel. Számos különféle beállítás nyilvánvalóan nem kezdő felhasználó számára készült, azonban egy meglehetősen részletes súgó hozzáférhető formában elmagyarázza bizonyos, Önt érdeklő paraméterek célját. A Dr.Web központi moduljához - egy Windows szkennerhez - nem a tálcán keresztül lehet hozzáférni, mint az áttekintésben tárgyalt összes vírusirtóhoz, hanem csak a "Start"-on keresztül - ez messze nem a legjobb megoldás, amelyet a Kaspersky javított. Vírusirtó egyszerre.
A frissítés az interneten és proxy szerverek segítségével is elérhető, ami az aláírások kis méretét tekintve a Dr.Web-et nagyon vonzó lehetőséggé teszi közepes és nagy felhasználók számára. számítógépes hálózatok.
A kényelmes „Ütemező” eszközzel beállíthatja a rendszer vizsgálati paramétereit, frissítési sorrendjét és működési feltételeit minden Dr.Web modulhoz, amely lehetővé teszi, hogy a Dr.Web komponensek „tervezőjéből” koherens védelmi rendszert hozzon létre.
Ennek eredményeként egy igénytelen számítógépes erőforrást kapunk, egészen egyszerű (közelebbről megvizsgálva) a számítógép holisztikus védelmét mindenféle fenyegetéssel szemben, amelynek a rosszindulatú alkalmazások elleni védekezési képessége egyértelműen felülmúlja az egyetlen hátrányt, amelyet Dr. „tarka” felülete fejez ki. Web modulok.
Tekintsük a kiválasztott könyvtár közvetlen vizsgálatának folyamatát. Egy mappa tele szöveges dokumentumok, archívumok, zenék, videók és egyéb fájlok, amelyek az átlagos felhasználó merevlemezén rejlenek. A teljes információmennyiség 20 GB volt. Kezdetben azt tervezték, hogy átvizsgálják a merevlemez-partíciót, amelyre a rendszert telepítették, de a Dr.Web két-három órára el akarta húzni a vizsgálatot, alaposan áttanulmányozva rendszerfájlokat, ennek eredményeként külön mappát jelöltek ki a „teszthely” számára. Mindegyik vírusirtó az összes rendelkezésre álló képességet felhasználta a vizsgált fájlok maximális számának konfigurálásához.
Az eltöltött idő tekintetében az első helyet a Panda 2008 szerezte meg. Hihetetlen, de igaz: a szkennelés mindössze öt (!) percig tartott. A Dr.Web nem volt hajlandó racionálisan felhasználni a felhasználó idejét, és több mint másfél órán keresztül tanulmányozta a mappák tartalmát. A Panda 2008 által mutatott idő kétségeket ébreszt, és egy látszólag jelentéktelen paraméter - a szkennelt fájlok számának - további diagnosztikáját tette szükségessé. A kétségek nem hiába merültek fel, és az ismételt tesztek során gyakorlati alapot találtak. Tisztelnünk kell a Dr.Web előtt – a vírusirtó nem vesztegette hiába az időt, a legjobb eredményt mutatta be: valamivel több mint 130 ezer fájlt. Tegyünk egy fenntartást, hogy sajnos nem lehetett meghatározni a tesztmappában lévő fájlok pontos számát. Ezért a Dr.Web mutatót a valós helyzetet tükrözőnek tekintettük.
A felhasználók eltérően viszonyulnak a „nagyszabású” szkennelés folyamatához: egyesek szívesebben hagyják el a számítógépet, és nem avatkoznak be a vizsgálatba, mások nem akarnak kompromisszumot kötni a víruskeresővel, és folytatják a munkát vagy a játékot. Az utolsó lehetőség, mint kiderült, lehetővé teszi a Panda Antivirus problémamentes megvalósítását. Igen, ez a program, amiben lehetetlennek bizonyult kiemelni Főbb jellemzők, bármilyen konfiguráció esetén az egyetlen aggodalomra ad okot egy zöld jelzéssel, amely a vizsgálat sikeres befejezését jelzi. A Dr.Web megkapta a RAM legstabilabb fogyasztója címet, teljes terhelésű módban működéséhez mindössze néhány megabájttal kellett többet, mint normál működés közben.
Most nézzük meg közelebbről az ilyen víruskeresőket:
1. Kaspersky Anti-Virus 2009;
3. Panda Antivirus 2008;
a következő kritériumok szerint:
· Kényelmi besorolás felhasználói felület;
· A könnyű használhatóság értékelése;
· Toborzási elemzés technikai lehetőségeket;
· Költségbecslés.
Az összes vizsgált vírusirtó közül a legolcsóbb a Panda Antivirus 2008, a legdrágább pedig a NOD 32. Ez azonban nem jelenti azt, hogy a Panda Antivirus 2008 rosszabb, és ezt a többi kritérium is bizonyítja. A vizsgált négy programból három (Kaspersky Anti-Virus, Panda Antivirus, NOD 32) egyszerűbb, funkcionálisabb és felhasználóbarátabb felülettel rendelkezik, mint a Dr. Web, amely számos beállítást tartalmaz, amelyek egy kezdő felhasználó számára érthetetlenek. A programban részletes súgót használhat, amely elmagyarázza bizonyos paraméterek célját.
Minden program megbízható védelmet nyújt a férgek, a hagyományos vírusok, levelezővírusok, kémprogramok, trójai programok stb. Fájlok ellenőrzése olyan programokban, mint például a Dr. A web, a NOD 32, a rendszer indításakor kerül végrehajtásra, de a Kaspersky Anti-Virus ellenőrzi a fájlokat a hozzáféréskor. A Kaspersky Anti-Virus, NOD 32 a többitől eltérően fejlett proaktív védelmi rendszerrel rendelkezik, amely heurisztikus elemzési algoritmusokon alapul; jelszó beállításának képessége, és ezáltal a program védelme a vírusvédelem megsemmisítését célzó vírusoktól. Ezenkívül a Kaspersky Anti-Virus 2009 rendelkezik egy viselkedésblokkolóval. A Panda Antivirus az összes többivel ellentétben nem támogatja a gyanús weboldalak blokkolását vagy a személyes adatok védelmét. Mindezek a víruskeresők automatikus adatbázis-frissítéssel és feladatütemezővel rendelkeznek. Ezenkívül ezek a víruskereső programok teljes mértékben kompatibilisek a Vistával. De a Panda Antivirus kivételével mindegyik megköveteli, hogy rajtuk kívül ne legyen más hasonló program a rendszerben. Ezen adatok alapján készítünk egy táblázatot.
1. táblázat A víruskereső programok jellemzői
| kritériumok | Kaspersky Anti-Virus 2009 | NOD 32 | Dr. Web | Panda Antivirus |
| Költségbecslés | - | - | - | + |
| Felhasználói felület használhatósági besorolása | + | + | - | |
| Könnyű használhatóság értékelése | + | + | +- | - |
| Egy sor műszaki képesség elemzése | + | + | + | - |
| Általános benyomás a programról | + | + | - |
A vizsgált víruskeresők mindegyike ilyen vagy olyan módon kiérdemelte népszerűségét, de abszolút tökéletes megoldás nem létezik minden felhasználói kategóriánál.
Véleményem szerint a leghasznosabb a Kaspersky Anti-Virus 2009 és a NOD 32. Mivel ezeknek szinte minden követelménye megvan, amit egy víruskereső programnak meg kell felelnie. Ez egy interfész és egy sor technikai képesség. Általánosságban elmondható, hogy rendelkezik azzal, amire szüksége van a számítógép vírusok elleni védelméhez.
Következtetés
A kurzusmunka zárásaként szeretném elmondani, hogy az általam kitűzött cél - a modern vírusirtó eszközök összehasonlító elemzése - megvalósult. Ezzel kapcsolatban a következő feladatokat sikerült megoldani:
1. A témával kapcsolatos irodalmakat választottuk ki.
2. Különféle vírusirtó programokat tanulmányoztak.
3. Elvégeztük a vírusirtó programok összehasonlítását.
A kurzusom elkészítése során számos problémával találkoztam az információkereséssel kapcsolatban, mivel ez sok forrásban meglehetősen ellentmondásos; valamint az egyes vírusirtó programok előnyeinek és hátrányainak összehasonlító elemzésével és egy összefoglaló táblázat elkészítésével.
Még egyszer érdemes megjegyezni, hogy nincs univerzális víruskereső program. Egyik sem garantálja számunkra a 100%-os védelmet a vírusok ellen, és a víruskereső program kiválasztása nagyban a felhasználótól függ.
Irodalom
1. Magazin személyi számítógép-felhasználók számára „PC World”
2. Leontyev V.P. "A személyi számítógép legújabb enciklopédiája"
3. http://www.viruslist.com
Az összes modult megvizsgálja, kivéve a Computer Scan modult. 1) Az Outlook Express és a Windows Mail levélszemétszűrő modulja csatlakoztatható. Az Eset Smart Security Outlook Express vagy Windows Mail programban való telepítése után megjelenik egy eszköztár, amely a levélszemétszűrő modul következő funkcióit tartalmazza 2) A levélszemétszűrő modul működik...
Számítógépes vírusok. A fertőzött program jó minőségű és helyes kezeléséhez speciális vírusirtókra van szükség (például Kaspersky antivirus, Dr Web stb.). 2. FEJEZET VÍRUSKERESŐ PROGRAMOK ÖSSZEHASONLÍTÓ ELEMZÉSE Termékeik előnyeinek bizonyítására az antivírus fejlesztők gyakran független tesztek eredményeit használják fel. Az egyik első, aki tesztelte a víruskeresőt...
Kiválóan működik a VirusBulletin ITW gyűjteményével – és semmi több. Az összes tesztre átlagolt vírusvédelmi besorolást az 1. ábra mutatja. (Lásd a Függelék 1. ábráját). 2. fejezet Vírusirtó programok használata 2.1 Vírusirtó ellenőrzés Email Ha a számítástechnika fejlődésének hajnalán a vírusok terjedésének fő csatornája a programfájlok hajlékonylemezeken keresztüli cseréje volt, akkor...
... (például, ha nem töltünk le vagy nem futtatunk ismeretlen programokat az internetről) csökkentené a vírusok terjedésének valószínűségét, és szükségtelenné válik számos vírusirtó program használata. A számítógép-felhasználók nem dolgozhatnak állandóan rendszergazdai jogokkal. Ha normál felhasználói hozzáférési módot használnának, akkor bizonyos típusú vírusok nem...
Víruskereső programok léteznek, hogy megvédjék számítógépét a rosszindulatú programoktól, vírusoktól, trójai falóktól, férgektől és kémprogramoktól, amelyek törölhetik a fájlokat, ellophatják személyes adatait, és rendkívül lassúvá és problémássá tehetik a számítógépet és a webkapcsolatot. Ezért a jó víruskereső program kiválasztása fontos prioritás a rendszer számára.
Ma több mint 1 millió számítógépes vírus van a világon. Mivel a vírusok és más rosszindulatú programok olyan gyakoriak, a számítógép-felhasználók számára számos lehetőség kínálkozik a víruskereső szoftverek területén.
Víruskereső programok gyorsan nagy üzletté vált, és az 1980-as évek végén megjelentek az első kereskedelmi forgalomban lévő víruskereső termékek. Manapság számos fizetős és ingyenes víruskereső programot találhat számítógépe védelmére.
Mit csinálnak a víruskereső programok?
A víruskereső programok rendszeresen átvizsgálják a számítógépet, és keresik a vírusokat és egyéb rosszindulatú programokat, amelyek a számítógépén lehetnek. Ha a szoftver vírust észlel, általában karanténba helyezi, fertőtleníti vagy eltávolítja azt.
Ön dönti el, hogy milyen gyakran kerüljön sor a vizsgálatra, bár általában ajánlott legalább hetente egyszer futtatni. Ezenkívül a legtöbb víruskereső program megvédi Önt a mindennapi tevékenységek során, mint például az e-mailek ellenőrzése és az interneten való böngészés.
Amikor letölt egy fájlt a számítógépére az internetről vagy e-mailből, a víruskereső átvizsgálja, és megbizonyosodik arról, hogy a fájl rendben van (vírusmentes vagy „tiszta”).
A víruskereső programok frissítik az úgynevezett „víruskereső definíciókat is”. Ezeket a definíciókat olyan gyakran frissítik, amikor új vírusokat és rosszindulatú programokat vezetnek be és fedeznek fel.
Naponta jelennek meg új vírusok, ezért a vírusirtó program gyártójának honlapján rendszeresen frissíteni kell az antivírus adatbázist. Hiszen, mint tudod, minden vírusirtó csak azokat a vírusokat képes felismerni és semlegesíteni, amelyek használatára a gyártó „megtanította”. És nem titok, hogy több nap is eltelhet attól a pillanattól kezdve, hogy a vírust elküldik a programfejlesztőknek, amíg a víruskereső adatbázisok frissítésre kerülnek. Ebben az időszakban a világon több ezer számítógép fertőződhet meg!
Ezért feltétlenül telepítse az egyik legjobb víruskereső csomagot, és rendszeresen frissítse.
TŰZFAL (TŰZFAL)
A számítógép vírusok elleni védelme nem csak egy víruskereső programtól függ. A legtöbb felhasználó téved, amikor azt hiszi, hogy a számítógépére telepített víruskereső csodaszer minden vírus ellen. A számítógép még akkor is megfertőződhet egy vírussal, ha rendelkezik egy hatékony víruskereső programmal. Ha számítógépe rendelkezik internet-hozzáféréssel, egy víruskereső nem elegendő.
A vírusirtó képes eltávolítani egy vírust, ha az közvetlenül a számítógépén van, de ha ugyanaz a vírus kezd bejutni a számítógépére az internetről, például egy weboldal betöltésével, akkor a víruskereső program nem tud semmit tenni. vele - amíg nem mutatja meg tevékenységét a PC-n. Ezért a számítógép teljes védelme a vírusokkal szemben lehetetlen tűzfal nélkül - egy speciális biztonsági program, amely értesíti Önt a vírus jelenlétéről. gyanús tevékenység amikor egy vírus vagy féreg próbál csatlakozni a számítógépéhez.
A tűzfal használata az interneten lehetővé teszi, hogy korlátozza a nem kívánt külső kapcsolatok számát a számítógépével, és jelentősen csökkenti a fertőzés valószínűségét. A vírusok elleni védelem mellett sokkal nehezebbé teszi a behatolók (hackerek) számára, hogy hozzáférjenek az Ön adataihoz, és megpróbáljanak letölteni egy potenciálisan veszélyes programot a számítógépére.
Ha a tűzfalat víruskereső programmal és az operációs rendszer frissítéseivel együtt használjuk, a számítógép védelme a legmagasabb szintű biztonságban marad fenn.
AZ OPERÁCIÓS RENDSZER ÉS A PROGRAMOK FRISSÍTÉSE
A számítógép és az adatok védelmének fontos lépése az operációs rendszer szisztematikus frissítése a legújabb biztonsági javításokkal. Ezt ajánlott legalább havonta egyszer megtenni. Legújabb frissítések mert az operációs rendszer és a programok olyan feltételeket teremtenek, amelyek mellett a számítógép vírus elleni védelme meglehetősen magas szintű lesz.
A frissítések az idők során talált szoftverhibák javításai. Számos vírus használja ezeket a hibákat („lyukakat”) a rendszer és a programok biztonságában a terjedéshez. Ha azonban bezárja ezeket a „lyukakat”, akkor nem fog félni a vírusoktól, és számítógépe magas szintű védelmet nyújt. A rendszeres frissítés további előnye a rendszer megbízhatóbb működése a hibajavítások miatt.
BEJELENTKEZÉSI JELSZÓ
Jelszó a rendszerbe való bejelentkezéshez, különösen fiókot Az „Adminisztrátor” segít megvédeni adatait az illetéktelen hozzáféréstől helyileg vagy a hálózaton keresztül, és további akadályt képez a vírusok és kémprogramok ellen. Ügyeljen arra, hogy összetett jelszót használjon, mert... Sok vírus egyszerű jelszavakat használ a terjedéshez, például 123, 12345, üres jelszavakkal kezdve.
BIZTONSÁGOS WEBSÖRÖZÉS
A számítógép vírusok elleni védelme bonyolult lesz, ha az internet böngészése és szörfözése közben mindenbe beleegyezik, és mindent telepít. Például a frissítés leple alatt Adobe Flash A lejátszót a vírus egyik fajtája terjeszti - „SMS küldése a számra”. Gyakorolja a biztonságos internetes szörfözést. Mindig olvassa el, hogy pontosan mit ajánlanak Önnek, és csak ezután fogadja el vagy utasítsa el. Ha kínálnak valamit idegen nyelv- próbálja ezt lefordítani, különben nyugodtan utasítsa el.
Számos vírus található az e-mail mellékletekben, és a melléklet megnyitása után azonnal terjedni kezd. Határozottan nem javasoljuk, hogy a mellékleteket előzetes beleegyezés nélkül nyissa meg.
Vírusirtó SIM-hez, flash kártyákhoz és USB-eszközökhöz
A ma gyártott mobiltelefonok interfészek és adatátviteli lehetőségek széles skálájával rendelkeznek. A fogyasztóknak gondosan át kell tekinteniük a védelmi módszereket, mielőtt bármilyen kis eszközt csatlakoztatnának.
Az olyan védelmi módszerek, mint a hardver, esetleg az USB-eszközökön vagy a SIM-kártyán lévő vírusirtó, jobban megfelelnek a fogyasztóknak mobiltelefonok. A víruskereső program mobiltelefonra történő telepítésének műszaki értékelését és áttekintését olyan vizsgálati folyamatnak kell tekinteni, amely hatással lehet a telefonon lévő egyéb legitim alkalmazásokra.
A kis memóriaterületbe beépített víruskereső SIM-kártyán lévő víruskereső programok kártevő/vírus elleni védelmet nyújtanak, védik a PIM-eket és a telefon felhasználói információkat. A flash kártyákon található víruskeresők lehetőséget adnak a felhasználónak az információcserére és a termékek különféle hardvereszközökkel való használatára.
Antivírusok, mobileszközök és innovatív megoldások
Senki sem fog meglepődni, amikor a személyi és laptop számítógépeket megfertőző vírusok eljutnak a mobileszközökhöz. Ezen a területen egyre több fejlesztő kínál víruskereső programokat a vírusok leküzdésére és a mobiltelefonok védelmére. BAN BEN mobil eszközök A következő típusú vírusellenőrzések léteznek:
- § CPU korlátozások
- § memóriakorlátozás
- § ezen mobil eszközök aláírásának azonosítása és frissítése
Víruskereső cégek és programok
- § Az AOL® vírusvédelem az AOL Safety részeként és Biztonsági Központ
- § ActiveVirusShield az AOL-tól (KAV 6 alapú, ingyenes)
- § AhnLab
- § Aladdin tudásrendszerek
- § ALWIL Szoftver (avast!) a Cseh Köztársaságból (ingyenes és fizetős verziók)
- § ArcaVir Lengyelországból
- § AVZ Oroszországból (ingyenes)
- § Avira Németországból (ingyenes Klasszikus változat)
- § Authentium az Egyesült Királyságból
- § BitDefender Romániából
- § BullGuard Dániából
- § Computer Associates az USA-ból
- § Comodo Group az USA-ból
- § ClamAV -- GPL licenc -- ingyenes és nyílt forráskódú forráskódok programokat
- § ClamWin -- ClamAV for Windows
- § Dr.Web Oroszországból
- § Eset NOD32 Szlovákiából
- § Fortinet
- § Frisk Software Izlandról
- § F-Secure Finnországból
- § GeCAD Romániából (a Microsoft 2003-ban vásárolta meg a céget)
- § GFI szoftver
- § GriSoft (AVG) a Cseh Köztársaságból (ingyenes és fizetős verziók)
- §Hauri
- § H+BEDV Németországból
- § Kaspersky Anti-Virus Oroszországból
- § McAfee az USA-ból
- § MicroWorld Technologies Indiából
- § NuWave szoftver Ukrajnából
- § MKS Lengyelországból
- § Norvégiából
- § Előőrs Oroszországból
- § Panda szoftver Spanyolországból
- § Quick Heal AntiVirus Indiából
- § Emelkedő
- § ROSE SWE
- § Sophos az Egyesült Királyságból
- § Spyware Doctor
- Stiller kutatás
- § Sybari Software (a Microsoft 2005 elején vásárolta meg a céget)
- § Symantec az Egyesült Államokból vagy az Egyesült Királyságból
- § Trojan Hunter
- § Trend Micro Japánból (névlegesen Tajvan-USA)
- § Ukrán nemzeti vírusirtó Ukrajnából
- § VirusBlokAda (VBA32) Fehéroroszországból
- § VirusBuster Magyarországról
- § ZoneAlarm AntiVirus (amerikai)
- § Fájlvizsgálat több vírusirtóval
- § A fájl ellenőrzése több víruskeresővel (angol)
- § A fájlok vírusellenőrzése letöltés előtt (angol)
- § virusinfo.info Információbiztonsággal foglalkozó portál (virológusok konferenciája), ahol segítséget kérhet.
- § antivse.com Egy másik portál, ahonnan letöltheti a leggyakoribb, fizetős és ingyenes víruskereső programokat.
- § www.viruslist.ru A Kaspersky Lab által létrehozott internetes vírusenciklopédiát
Antivírusok
Avast! * AVS * Ashampoo Antivirus * AVG * Avira AntiVir * BitDefender * Clam Antivirus * ClamWin * Comodo Antivirus * Dr. Web * F-Prot * F-Secure Antivirus * Kaspersky Antivirus * McAfee VirusScan * NOD32 * Norton Antivirus * Outpost Antivirus * Panda Antivirus * PC-cillin * Windows Live OneCare
A víruskereső programok összehasonlítása soha nem volt könnyű feladat. Végtére is, az ilyen típusú termékeket létrehozó cégek mindig is kitűntek a fejlesztés iránti buzgalmuk és szoftvereik folyamatos frissítése miatt. Ennek ellenére néhány vírusirtó jobban teljesíti a feladatát, míg mások rosszabbak.
Mindegyiknek megvannak a maga előnyei és hátrányai, de nem minden ember képes objektíven értékelni a munkáját, és kiválasztani azt, amelyik a legmegfelelőbb számítógépe működéséhez.
Ezért úgy döntöttünk, hogy elemezzük a piacon található legnépszerűbb vírusirtó programokat, a Kaspersky-t, az ESET NOD32-t, a McAfee-t, a Symantecet, hogy általános képet adjunk a munkájukról, és segítsünk a megfelelő választásban személyi számítógépe védelmében. Az elemzés eredményeit táblázat formájában jelenítettük meg, hogy maximalizáljuk a tesztelt szoftverek közötti különbség érzékelését.
|
Az „alapértelmezés szerint megtagadás” forgatókönyv támogatása azzal a lehetőséggel, hogy automatikusan kizárja a forgatókönyvből a rendszer működéséhez szükséges folyamatokat és megbízható frissítési forrásokat |
||||
|
Programok engedélyezése/blokkolása: |
||||
|
Kiválasztás a programnyilvántartásból |
||||
|
Futtatható fájlok kiválasztása a rendszerleíró adatbázisból |
||||
|
A végrehajtható fájl metaadatainak megadása |
||||
|
Futtatható fájlok ellenőrző összegének megadása (MD5, SHA1) |
||||
|
Az elérési út megadása futtatható fájlok(helyi vagy UNC) |
||||
|
Előre beállított alkalmazáskategóriák kiválasztása |
||||
|
Alkalmazások engedélyezése/letiltása egyéni felhasználók/felhasználói csoportok számára Active Directory |
||||
|
A programtevékenység figyelése és korlátozása |
||||
|
A sebezhetőségek figyelése és rangsorolása |
||||
|
Webes erőforrásokhoz való hozzáférés engedélyezése/blokkolása, veszélyre való figyelmeztetés: |
||||
|
Linkszűrés |
||||
|
Tartalom szűrése előre beállított kategóriák szerint |
||||
|
A tartalom szűrése adattípus szerint |
||||
|
Active Directory integráció |
||||
|
A webes erőforrásokhoz való hozzáférés engedélyezése/letiltása ütemezetten |
||||
|
Részletes jelentések generálása a számítógép használatáról a webes erőforrások eléréséhez |
||||
|
Házirend-alapú eszközvezérlés: |
||||
|
Kikötő típusa/busz szerint |
||||
|
A csatlakoztatott eszköz típusa szerint |
||||
|
Felhasználói csoportok szerint az Active Directoryban |
||||
|
Fehérlisták készítése alapján sorozatszámok eszközöket |
||||
|
Az olvasási/írási eszközök hozzáférési jogainak rugalmas szabályozása ütemezés konfigurálásával |
||||
|
Ideiglenes hozzáférési engedélyek kezelése |
||||
|
Alapértelmezés szerint megtagadás, prioritás alapján alkalmazva |
A kapott adatokat elemezve magabiztosan kijelenthetjük, hogy egyetlen vírusirtó, a Kaspersky birkózott meg minden feladattal, például programok, internetes oldalak és eszközök figyelésével. McAfee Antivirus jó eredményeket mutatott az „eszközvezérlés” kategóriában, maximális értékelést kapva, de sajnos nem megbízható webes vezérlésre és alkalmazásvezérlésre.
A vírusirtó programok másik fontos elemzése a személyi számítógépek védelmének minőségének meghatározására irányuló gyakorlati kutatás volt. Az elemzés elvégzéséhez további három vírusirtó programot adtunk hozzá: Dr. Web, AVG, TrustPort, így még teljesebb lett a kép a programok összehasonlításáról ebben a szegmensben. A teszteléshez 3837 fertőzött fájlt használtak fel különféle fenyegetésekkel, és az alábbi táblázatban látható, hogy a tesztelt vírusirtó programok hogyan kezelték ezeket.
|
Kaspersky |
|||||
|
1 perc 10 mp |
|||||
|
5 perc 32 mp |
|||||
|
6 perc 10 mp |
|||||
|
1 perc 10 mp |
És ismét a Kaspersky Anti-Virus vette át a vezetést, megelőzve versenytársait olyan fontos mutatóban, mint a fenyegetésészlelés százalékos aránya - több mint 96%. De ahogy mondják, itt légy volt. A fertőzött fájlok keresésére fordított idő és a személyi számítógépen felhasznált erőforrások a legmagasabbak voltak az összes tesztelt termék közül.
A leggyorsabbak itt dr. A Web és az ESET NOD32, amelyek alig több mint egy percet töltöttek víruskereséssel, 77,3%-ban, illetve 50,8%-ban észlelték a fertőzött fájlokat. Hogy mi a fontosabb - az észlelt vírusok százalékos aránya vagy a keresésre fordított idő -, azt Ön döntheti el. De ne felejtse el, hogy számítógépe biztonsága a legfontosabb.
ESET BÓLINT32 a legrosszabb eredményt mutatta a fenyegetések észlelésében, mindössze 50,8%-ot, ami PC-k számára elfogadhatatlan eredmény. A TrustPort bizonyult a leggyorsabbnak, az AVG pedig a legkevésbé erőforrásigényesnek, de sajnos az ilyen víruskereső programok által észlelt fenyegetések alacsony százaléka nem teszi lehetővé számukra, hogy felvegyék a versenyt a vezetőkkel.
A tesztek eredményei alapján a Kaspersky Anti-Virus magabiztosan tekinthető a legjobb megoldásnak a számítógép védelmére, feltéve, hogy elegendő mennyiségű RAM van telepítve és jó processzor. Ezenkívül a Kaspersky Lab termék ára nem a legmagasabb, ami nem tehet mást, mint a fogyasztóknak.
